2021年1月19日,Oracle官網(wǎng)正式公布由安華金和數(shù)據(jù)庫安全實驗室(DBSec Labs)發(fā)現(xiàn)并提交的Oracle數(shù)據(jù)庫高危漏洞 CVE-2021-2035�����,CVSS危害評分高達(dá)8.8�����,在當(dāng)日的“Oracle數(shù)據(jù)庫服務(wù)器風(fēng)險列表”中排名第一���!
該漏洞存在于Oracle數(shù)據(jù)庫的默認(rèn)配置中�����,且黑客等不法分子僅需較低權(quán)限即可利用該漏洞發(fā)起遠(yuǎn)程攻擊�,并導(dǎo)致服務(wù)器崩潰�����。由于該漏洞“易被利用且危害性極大”�����,安華金和特此提醒廣大Oracle數(shù)據(jù)庫用戶,請及時進(jìn)行版本更新以修復(fù)該漏洞���。
漏洞影響
Oracle數(shù)據(jù)庫中檢查兼容性的函數(shù)存在堆棧溢出漏洞��。當(dāng)Oracle數(shù)據(jù)庫試圖解析XML文件中元素的值時����,函數(shù)發(fā)生溢出��,溢出數(shù)據(jù)將覆蓋返回地址�����,最終導(dǎo)致返回地址被攻擊者所利用��。
防范措施
建議 Oracle Database Server 12.1.0.2 / 12.2.0.1 / 18c / 19c 四個版本的用戶及時登錄Oracle官網(wǎng)�����,下載并安裝最新版本���,以修復(fù)該漏洞����。
漏洞詳情
如需了解更多漏洞詳情,可參閱Oracle官網(wǎng)于2021年1月19日發(fā)布的完整公告信息��,網(wǎng)址如下:
www.oracle.com/security-alerts/cpujan2021.html
www.oracle.com/a/tech/docs/cpujan2021cvrf.xml
關(guān)于DBSec Labs
安華金和數(shù)據(jù)庫安全實驗室成立于2010年11月��,是中國第一批成立的��、規(guī)?;臄?shù)據(jù)庫安全研究機(jī)構(gòu)���,是具備“國際數(shù)據(jù)庫漏洞挖掘能力”的專業(yè)實驗室����,也是國內(nèi)首個針對數(shù)據(jù)庫漏洞進(jìn)行系統(tǒng)分類與定性分析的專業(yè)團(tuán)隊���。
截至目前�����,安華金和數(shù)據(jù)庫安全實驗室向IBM����、Oracle、Informix�、DB2、MongoDB及達(dá)夢�、人大金倉、Gbase等國內(nèi)外主流數(shù)據(jù)庫廠商提交并獲認(rèn)證的數(shù)據(jù)庫漏洞累計高達(dá)109個(含國際漏洞36個���,國內(nèi)漏洞73個)����,其中包括1個超高危漏洞���、41個高危漏洞�����,43個中危漏洞��,12個低危漏洞��;累計復(fù)現(xiàn)數(shù)據(jù)庫漏洞 74個���,其中高危漏洞 23個�����,中危漏洞 29個��,低危漏洞 5個�,未定級漏洞 17個�。
作為一支能夠獨立且持久針對數(shù)據(jù)庫漏洞、數(shù)據(jù)庫攻擊技術(shù)模擬與數(shù)據(jù)庫安全防護(hù)技術(shù)進(jìn)行研究的專業(yè)隊伍�,DBSec Labs重點圍繞數(shù)據(jù)庫自身、數(shù)據(jù)庫使用環(huán)節(jié)存在的安全漏洞���,以及黑客如何利用數(shù)據(jù)庫漏洞對客戶信息資產(chǎn)進(jìn)行侵害等問題,分析研究防御手段以降低數(shù)據(jù)庫安全風(fēng)險�,實現(xiàn)對數(shù)據(jù)資產(chǎn)的有效保護(hù)。
擴(kuò)展閱讀
安華金和DBSec Labs 再獲“年度杰出安全實驗室”稱號
36氪對話「安華金和」CEO劉曉韜:數(shù)據(jù)安全市場火熱��,技術(shù)創(chuàng)新型公司如何破局��?
安華金和解讀如何讓DBA不能“刪庫”也無法“跑路”
數(shù)據(jù)安全廠商安華金和完成約2億人民幣D輪融資
產(chǎn)品咨詢:4000 258 365 
