2021年1月19日,Oracle官網(wǎng)正式公布由安華金和數(shù)據(jù)庫安全實驗室(DBSec Labs)發(fā)現(xiàn)并提交的Oracle數(shù)據(jù)庫高危漏洞 CVE-2021-2035,CVSS危害評分高達(dá)8.8,在當(dāng)日的“Oracle數(shù)據(jù)庫服務(wù)器風(fēng)險列表”中排名第一!
該漏洞存在于Oracle數(shù)據(jù)庫的默認(rèn)配置中,且黑客等不法分子僅需較低權(quán)限即可利用該漏洞發(fā)起遠(yuǎn)程攻擊,并導(dǎo)致服務(wù)器崩潰。由于該漏洞“易被利用且危害性極大”,安華金和特此提醒廣大Oracle數(shù)據(jù)庫用戶,請及時進(jìn)行版本更新以修復(fù)該漏洞。
漏洞影響
Oracle數(shù)據(jù)庫中檢查兼容性的函數(shù)存在堆棧溢出漏洞。當(dāng)Oracle數(shù)據(jù)庫試圖解析XML文件中元素的值時,函數(shù)發(fā)生溢出,溢出數(shù)據(jù)將覆蓋返回地址,最終導(dǎo)致返回地址被攻擊者所利用。
防范措施
建議 Oracle Database Server 12.1.0.2 / 12.2.0.1 / 18c / 19c 四個版本的用戶及時登錄Oracle官網(wǎng),下載并安裝最新版本,以修復(fù)該漏洞。
漏洞詳情
如需了解更多漏洞詳情,可參閱Oracle官網(wǎng)于2021年1月19日發(fā)布的完整公告信息,網(wǎng)址如下:
www.oracle.com/security-alerts/cpujan2021.html
www.oracle.com/a/tech/docs/cpujan2021cvrf.xml
關(guān)于DBSec Labs
安華金和數(shù)據(jù)庫安全實驗室成立于2010年11月,是中國第一批成立的、規(guī)?;臄?shù)據(jù)庫安全研究機(jī)構(gòu),是具備“國際數(shù)據(jù)庫漏洞挖掘能力”的專業(yè)實驗室,也是國內(nèi)首個針對數(shù)據(jù)庫漏洞進(jìn)行系統(tǒng)分類與定性分析的專業(yè)團(tuán)隊。
截至目前,安華金和數(shù)據(jù)庫安全實驗室向IBM、Oracle、Informix、DB2、MongoDB及達(dá)夢、人大金倉、Gbase等國內(nèi)外主流數(shù)據(jù)庫廠商提交并獲認(rèn)證的數(shù)據(jù)庫漏洞累計高達(dá)109個(含國際漏洞36個,國內(nèi)漏洞73個),其中包括1個超高危漏洞、41個高危漏洞,43個中危漏洞,12個低危漏洞;累計復(fù)現(xiàn)數(shù)據(jù)庫漏洞 74個,其中高危漏洞 23個,中危漏洞 29個,低危漏洞 5個,未定級漏洞 17個。
作為一支能夠獨立且持久針對數(shù)據(jù)庫漏洞、數(shù)據(jù)庫攻擊技術(shù)模擬與數(shù)據(jù)庫安全防護(hù)技術(shù)進(jìn)行研究的專業(yè)隊伍,DBSec Labs重點圍繞數(shù)據(jù)庫自身、數(shù)據(jù)庫使用環(huán)節(jié)存在的安全漏洞,以及黑客如何利用數(shù)據(jù)庫漏洞對客戶信息資產(chǎn)進(jìn)行侵害等問題,分析研究防御手段以降低數(shù)據(jù)庫安全風(fēng)險,實現(xiàn)對數(shù)據(jù)資產(chǎn)的有效保護(hù)。
擴(kuò)展閱讀
安華金和DBSec Labs 再獲“年度杰出安全實驗室”稱號
36氪對話「安華金和」CEO劉曉韜:數(shù)據(jù)安全市場火熱,技術(shù)創(chuàng)新型公司如何破局?
電力數(shù)據(jù)安全的暴露面與針對性防護(hù)思路
CHIMA 2021 | 安華金和解讀醫(yī)療數(shù)據(jù)安全
直播|科學(xué)城·云推介:新技術(shù)+新產(chǎn)品+新服務(wù)
ISC 2021:安華金和深度參與,共建合作生態(tài)、共謀行業(yè)發(fā)展!
視頻回放 | 安華金和攜手愛數(shù)重磅發(fā)布副本數(shù)據(jù)脫敏方案
半年六榜 | 安華金和入選《2020年中國網(wǎng)絡(luò)安全市場全景圖》
安華金和數(shù)據(jù)庫安全實驗室再次發(fā)現(xiàn)Oracle數(shù)據(jù)庫重大漏洞
安華金和榮獲2020年度中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟“優(yōu)秀會員單位”