安华金和数据库攻防实验室首次发现Oracle数据库高危漏洞

栏目: 数据库 · Oracle · 发布时间: 4年前

内容简介:摘要: 2019年刚刚开始,安华金和数据库攻防实验室在数据库漏洞挖掘方面又有重要新发现。继2018年发现infomix、DB2两种类型的国际数据库若干枚漏洞,这一次又发现了新类型的国际数据库漏洞——Oracle Database Server高危漏洞,目前已经得到Or...

摘要: 2019年刚刚开始,安华金和数据库攻防实验室在数据库漏洞挖掘方面又有重要新发现。继2018年发现infomix、DB2两种类型的国际数据库若干枚漏洞,这一次又发现了新类型的国际数据库漏洞——Oracle Database Server高危漏洞,目前已经得到Or...

2019年刚刚开始,安华金和数据库攻防实验室在数据库漏洞挖掘方面又有重要新发现。继2018年发现infomix、DB2两种类型的国际数据库若干枚漏洞,这一次又发现了新类型的国际数据库漏洞——Oracle Database Server高危漏洞,目前已经得到Oracle确认,并分配CVE编号。

提醒Oracle用户及时下载Oracle官网最新公布的补丁。更多漏洞详细信息请参阅Oracle 2019年1月15日官方发布的公告信息(https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html),其中北京安华金和科技有限公司的名字赫然在列,获得感谢。

漏洞简介

CVE编号:CVE-2019-2444

CVSSv3 Base Score: 8.2

CVSS Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Component: Core RDBMS

Supported Versions Affected: 12.2.0.1 18c

漏洞影响

该漏洞属于提权漏洞,一旦利用了漏洞,能够使得非权限用户获得权限提升,从而通过一台机器看到数据库里的所有数据,包含实例。和另外一个漏洞组合使用,不仅能够获得整个数据库和库里数据的访问权限,甚至能够掌控整个服务器,这自然就包含了数据库文件甚至可以下载、拿走,全部数据都将失控。

防范措施

出于对数据的保护,Oracle数据库本身具备加密功能,解密的密钥存放在钱包里,而钱包却是放在本地磁盘里。不法分子一旦利用数据库漏洞掌握了系统的root权限,就很容易发现用户密钥存储的位置,一旦拿到钱包里的密钥,这种情况就变得极为危险。

鉴于这种风险,安华金和的Oracle TDE加密产品正好可以弥补该缺陷。这是因为Oracle TDE解密数据的密钥没有放在本地,而是放在我们自己的服务器上,所以想要非法访问密文数据,阻碍重重,几无可能。

关于安华金和数据库攻防实验室

安华金和数据库攻防实验室(DBSec Labs)自2010年11月立以来,专注安全攻防技术研究及漏洞挖掘工作,是我国一支独立的、持久的针对数据库安全漏洞、数据库攻击技术模拟和数据库安全防护技术进行研究的专业队伍。2017年被国家信息安全漏洞库(CNNVD)正式授予技术支撑单位。实验室始终秉承着“以攻促防”的技术理念,将研究成果融入到安华金和的数据库安全产品系列中。不断挖掘出国际数据库漏洞也见证了安华金和在国内数据库安全领域的技术研究实力。

安华金和攻防实验室在2017年、2018年挖到了若干不同类型的国际数据库漏洞,比如informix、DB2,这次是第一次挖到Oracle数据库漏洞。Oracle数据库漏洞较为少见,挖掘难度相对较大。据官方公布数据看,通常一个季度也只有几个漏洞爆出。比如,最新季度报出来的也只有区区3个而已。由此足见安华金和攻防实验室在数据库漏洞挖掘方面的实力。

安华金和数据库攻防实验室首次发现Oracle数据库高危漏洞


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

灵活Web设计

灵活Web设计

Zoe Mickley Gillenwater / 李静 / 2009-9 / 45.00元

《灵活Web设计》讲述如何应用可变或不固定布局及弹性布局来实现灵活设计,以满足用户的根据自己需求而调整浏览站点的窗口大小的要求。全书共分为9章,内容包括:理解灵活布局、可变布局和弹性布局存在的挑战、设计灵活布局的方法、准备网页设计、创建可变布局结构、创建弹性布局结构、规范灵活性、设置文字间距、添加背景图像和颜色、创建灵活的图像。 《灵活Web设计》适用于网页设计人员、网页设计爱好者。一起来看看 《灵活Web设计》 这本书的介绍吧!

SHA 加密
SHA 加密

SHA 加密工具

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试