安華金和數(shù)據(jù)庫(kù)攻防實(shí)驗(yàn)室首次發(fā)現(xiàn)Oracle數(shù)據(jù)庫(kù)高危漏洞
作者:安華金和
發(fā)布時(shí)間:2019-01-23
2019年剛剛開始����,安華金和數(shù)據(jù)庫(kù)攻防實(shí)驗(yàn)室在數(shù)據(jù)庫(kù)漏洞挖掘方面又有重要新發(fā)現(xiàn)。繼2018年發(fā)現(xiàn)infomix����、DB2兩種類型的國(guó)際數(shù)據(jù)庫(kù)若干枚漏洞,這一次又發(fā)現(xiàn)了新類型的國(guó)際數(shù)據(jù)庫(kù)漏洞——Oracle Database Server高危漏洞���,目前已經(jīng)得到Oracle確認(rèn),并分配CVE編號(hào)����。
提醒Oracle用戶及時(shí)下載Oracle官網(wǎng)最新公布的補(bǔ)丁。更多漏洞詳細(xì)信息請(qǐng)參閱Oracle 2019年1月15日官方發(fā)布的公告信息(https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html)�����,其中北京安華金和科技有限公司的名字赫然在列���,獲得感謝��。
漏洞簡(jiǎn)介
CVE編號(hào):CVE-2019-2444
CVSSv3 Base Score: 8.2
CVSS Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Component: Core RDBMS
Supported Versions Affected: 12.2.0.1 18c
漏洞影響
該漏洞屬于提權(quán)漏洞���,一旦利用了漏洞����,能夠使得非權(quán)限用戶獲得權(quán)限提升�,從而通過(guò)一臺(tái)機(jī)器看到數(shù)據(jù)庫(kù)里的所有數(shù)據(jù),包含實(shí)例��。和另外一個(gè)漏洞組合使用���,不僅能夠獲得整個(gè)數(shù)據(jù)庫(kù)和庫(kù)里數(shù)據(jù)的訪問(wèn)權(quán)限���,甚至能夠掌控整個(gè)服務(wù)器,這自然就包含了數(shù)據(jù)庫(kù)文件甚至可以下載�、拿走,全部數(shù)據(jù)都將失控��。
防范措施
出于對(duì)數(shù)據(jù)的保護(hù)�����,Oracle數(shù)據(jù)庫(kù)本身具備加密功能�����,解密的密鑰存放在錢包里,而錢包卻是放在本地磁盤里��。不法分子一旦利用數(shù)據(jù)庫(kù)漏洞掌握了系統(tǒng)的root權(quán)限���,就很容易發(fā)現(xiàn)用戶密鑰存儲(chǔ)的位置��,一旦拿到錢包里的密鑰���,這種情況就變得極為危險(xiǎn)。
鑒于這種風(fēng)險(xiǎn)����,安華金和的Oracle TDE加密產(chǎn)品正好可以彌補(bǔ)該缺陷�。這是因?yàn)镺racle TDE解密數(shù)據(jù)的密鑰沒(méi)有放在本地,而是放在我們自己的服務(wù)器上�,所以想要非法訪問(wèn)密文數(shù)據(jù),阻礙重重�����,幾無(wú)可能����。
關(guān)于安華金和數(shù)據(jù)庫(kù)攻防實(shí)驗(yàn)室
安華金和數(shù)據(jù)庫(kù)攻防實(shí)驗(yàn)室(DBSec Labs)自2010年11月立以來(lái)���,專注安全攻防技術(shù)研究及漏洞挖掘工作,是我國(guó)一支獨(dú)立的���、持久的針對(duì)數(shù)據(jù)庫(kù)安全漏洞�、數(shù)據(jù)庫(kù)攻擊技術(shù)模擬和數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)進(jìn)行研究的專業(yè)隊(duì)伍�����。2017年被國(guó)家信息安全漏洞庫(kù)(CNNVD)正式授予技術(shù)支撐單位�。實(shí)驗(yàn)室始終秉承著“以攻促防”的技術(shù)理念,將研究成果融入到安華金和的數(shù)據(jù)庫(kù)安全產(chǎn)品系列中�����。不斷挖掘出國(guó)際數(shù)據(jù)庫(kù)漏洞也見(jiàn)證了安華金和在國(guó)內(nèi)數(shù)據(jù)庫(kù)安全領(lǐng)域的技術(shù)研究實(shí)力���。
安華金和攻防實(shí)驗(yàn)室在2017年���、2018年挖到了若干不同類型的國(guó)際數(shù)據(jù)庫(kù)漏洞,比如informix�、DB2,這次是第一次挖到Oracle數(shù)據(jù)庫(kù)漏洞。Oracle數(shù)據(jù)庫(kù)漏洞較為少見(jiàn)����,挖掘難度相對(duì)較大。據(jù)官方公布數(shù)據(jù)看���,通常一個(gè)季度也只有幾個(gè)漏洞爆出���。比如,最新季度報(bào)出來(lái)的也只有區(qū)區(qū)3個(gè)而已��。由此足見(jiàn)安華金和攻防實(shí)驗(yàn)室在數(shù)據(jù)庫(kù)漏洞挖掘方面的實(shí)力�。
產(chǎn)品咨詢:4000 258 365 
