2019年剛剛開始,安華金和數(shù)據(jù)庫攻防實驗室在數(shù)據(jù)庫漏洞挖掘方面又有重要新發(fā)現(xiàn)��。繼2018年發(fā)現(xiàn)infomix����、DB2兩種類型的國際數(shù)據(jù)庫若干枚漏洞���,這一次又發(fā)現(xiàn)了新類型的國際數(shù)據(jù)庫漏洞——Oracle Database Server高危漏洞��,目前已經(jīng)得到Oracle確認��,并分配CVE編號�����。
提醒Oracle用戶及時下載Oracle官網(wǎng)最新公布的補丁�。更多漏洞詳細信息請參閱Oracle 2019年1月15日官方發(fā)布的公告信息(https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html)�����,其中北京安華金和科技有限公司的名字赫然在列��,獲得感謝�����。
漏洞簡介
CVE編號:CVE-2019-2444
CVSSv3 Base Score: 8.2
CVSS Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Component: Core RDBMS
Supported Versions Affected: 12.2.0.1 18c
漏洞影響
該漏洞屬于提權(quán)漏洞,一旦利用了漏洞���,能夠使得非權(quán)限用戶獲得權(quán)限提升���,從而通過一臺機器看到數(shù)據(jù)庫里的所有數(shù)據(jù),包含實例�����。和另外一個漏洞組合使用�,不僅能夠獲得整個數(shù)據(jù)庫和庫里數(shù)據(jù)的訪問權(quán)限,甚至能夠掌控整個服務(wù)器����,這自然就包含了數(shù)據(jù)庫文件甚至可以下載、拿走���,全部數(shù)據(jù)都將失控�����。
防范措施
出于對數(shù)據(jù)的保護�����,Oracle數(shù)據(jù)庫本身具備加密功能����,解密的密鑰存放在錢包里,而錢包卻是放在本地磁盤里�。不法分子一旦利用數(shù)據(jù)庫漏洞掌握了系統(tǒng)的root權(quán)限���,就很容易發(fā)現(xiàn)用戶密鑰存儲的位置��,一旦拿到錢包里的密鑰���,這種情況就變得極為危險。
鑒于這種風(fēng)險�,安華金和的Oracle TDE加密產(chǎn)品正好可以彌補該缺陷。這是因為Oracle TDE解密數(shù)據(jù)的密鑰沒有放在本地�,而是放在我們自己的服務(wù)器上,所以想要非法訪問密文數(shù)據(jù)��,阻礙重重���,幾無可能��。
關(guān)于安華金和數(shù)據(jù)庫攻防實驗室
安華金和數(shù)據(jù)庫攻防實驗室(DBSec Labs)自2010年11月立以來�,專注安全攻防技術(shù)研究及漏洞挖掘工作,是我國一支獨立的��、持久的針對數(shù)據(jù)庫安全漏洞���、數(shù)據(jù)庫攻擊技術(shù)模擬和數(shù)據(jù)庫安全防護技術(shù)進行研究的專業(yè)隊伍����。2017年被國家信息安全漏洞庫(CNNVD)正式授予技術(shù)支撐單位�����。實驗室始終秉承著“以攻促防”的技術(shù)理念����,將研究成果融入到安華金和的數(shù)據(jù)庫安全產(chǎn)品系列中。不斷挖掘出國際數(shù)據(jù)庫漏洞也見證了安華金和在國內(nèi)數(shù)據(jù)庫安全領(lǐng)域的技術(shù)研究實力��。
安華金和攻防實驗室在2017年����、2018年挖到了若干不同類型的國際數(shù)據(jù)庫漏洞,比如informix����、DB2����,這次是第一次挖到Oracle數(shù)據(jù)庫漏洞���。Oracle數(shù)據(jù)庫漏洞較為少見��,挖掘難度相對較大�����。據(jù)官方公布數(shù)據(jù)看,通常一個季度也只有幾個漏洞爆出�。比如,最新季度報出來的也只有區(qū)區(qū)3個而已����。由此足見安華金和攻防實驗室在數(shù)據(jù)庫漏洞挖掘方面的實力。
產(chǎn)品咨詢:4000 258 365 
