安华金和发现国际数据库Oracle高危漏洞
提醒Oracle用户及时下载Oracle官网最新公布的补丁。更多漏洞详细信息请参阅Oracle 2019年1月15日官方发布的公告信息(https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html),其中北京安华金和科技有限公司的名字赫然在列,获得感谢。
1、漏洞简介
CVE编号:CVE-2019-2444
CVSSv3 Base Score: 8.2
CVSS Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Component: Core RDBMS
Supported Versions Affected: 12.2.0.1 18c
2、漏洞影响
该漏洞属于提权漏洞,一旦利用了漏洞,能够使得非权限 用户获得权限提升,从而通过一台机器看到数据库里的所有数据,包含实例。和另外一个漏洞组合使用,不仅能够获得整个数据库和库里数据的访问权限,甚至能够掌控整个服务器,这自然就包含了数据库文件甚至可以下载、拿走,全部数据都将失控。
3、防范措施
那么,出于对数据的保护,Oracle数据库本身具备加密功能,解密的密钥存放在钱包里,而钱包也是放在本地磁盘里。不法分子一旦利用数据库漏洞掌握了数据库的root权限,就很容易发现用户密钥存储的位置,一旦拿到钱包里的密钥,这种情况就变得极为危险。
鉴于这种风险,安华金和的Oracle TDE加密产品正好可以弥补该缺陷。这是因为Oracle TDE解密数据的密钥没有放在本地,而是放在我们自己的服务器上,所以想要非法访问密文数据,阻碍重重,几无可能。
4、再说Oracle漏洞
安华金和攻防实验室在2017年、2018年都挖到了若干不同类型的国际数据库漏洞,比如informix、DB2,这次是第一次挖到Oracle数据库漏洞。后者的漏洞较为少见,挖掘难度相对较大。据官方公布数据看,通常一个季度也只有几个漏洞爆出。比如,最新季度报出来的也只有区区3个而已。由此足见安华金和攻防实验室在数据库漏洞挖掘方面的实力。
免责声明:我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理!
部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理!
图片声明:本站部分配图来自人工智能系统AI生成,觅知网授权图片,PxHere摄影无版权图库和百度,360,搜狗等多加搜索引擎自动关键词搜索配图,如有侵权的图片,请第一时间联系我们,邮箱:ciyunidc@ciyunshuju.com。本站只作为美观性配图使用,无任何非法侵犯第三方意图,一切解释权归图片著作权方,本站不承担任何责任。如有恶意碰瓷者,必当奉陪到底严惩不贷!
