2021年1月19日,Oracle官網(wǎng)正式公布由安華金和數(shù)據(jù)庫安全實驗室(DBSec Labs)發(fā)現(xiàn)并提交的Oracle數(shù)據(jù)庫高危漏洞 CVE-2021-2035����,CVSS危害評分高達(dá)8.8�����,在當(dāng)日的“Oracle數(shù)據(jù)庫服務(wù)器風(fēng)險列表”中排名第一�����!
該漏洞存在于Oracle數(shù)據(jù)庫的默認(rèn)配置中,且黑客等不法分子僅需較低權(quán)限即可利用該漏洞發(fā)起遠(yuǎn)程攻擊�����,并導(dǎo)致服務(wù)器崩潰����。由于該漏洞“易被利用且危害性極大”,安華金和特此提醒廣大Oracle數(shù)據(jù)庫用戶��,請及時進(jìn)行版本更新以修復(fù)該漏洞��。
漏洞影響
Oracle數(shù)據(jù)庫中檢查兼容性的函數(shù)存在堆棧溢出漏洞�。當(dāng)Oracle數(shù)據(jù)庫試圖解析XML文件中元素的值時,函數(shù)發(fā)生溢出���,溢出數(shù)據(jù)將覆蓋返回地址,最終導(dǎo)致返回地址被攻擊者所利用�����。
防范措施
建議 Oracle Database Server 12.1.0.2 / 12.2.0.1 / 18c / 19c 四個版本的用戶及時登錄Oracle官網(wǎng)���,下載并安裝最新版本��,以修復(fù)該漏洞����。
漏洞詳情
如需了解更多漏洞詳情,可參閱Oracle官網(wǎng)于2021年1月19日發(fā)布的完整公告信息��,網(wǎng)址如下:
www.oracle.com/security-alerts/cpujan2021.html
www.oracle.com/a/tech/docs/cpujan2021cvrf.xml
關(guān)于DBSec Labs
安華金和數(shù)據(jù)庫安全實驗室成立于2010年11月����,是中國第一批成立的、規(guī)?����;臄?shù)據(jù)庫安全研究機(jī)構(gòu)�����,是具備“國際數(shù)據(jù)庫漏洞挖掘能力”的專業(yè)實驗室�,也是國內(nèi)首個針對數(shù)據(jù)庫漏洞進(jìn)行系統(tǒng)分類與定性分析的專業(yè)團(tuán)隊。
截至目前���,安華金和數(shù)據(jù)庫安全實驗室向IBM���、Oracle�、Informix��、DB2�����、MongoDB及達(dá)夢�、人大金倉、Gbase等國內(nèi)外主流數(shù)據(jù)庫廠商提交并獲認(rèn)證的數(shù)據(jù)庫漏洞累計高達(dá)109個(含國際漏洞36個�,國內(nèi)漏洞73個),其中包括1個超高危漏洞��、41個高危漏洞�����,43個中危漏洞���,12個低危漏洞;累計復(fù)現(xiàn)數(shù)據(jù)庫漏洞 74個����,其中高危漏洞 23個���,中危漏洞 29個,低危漏洞 5個����,未定級漏洞 17個。
作為一支能夠獨立且持久針對數(shù)據(jù)庫漏洞���、數(shù)據(jù)庫攻擊技術(shù)模擬與數(shù)據(jù)庫安全防護(hù)技術(shù)進(jìn)行研究的專業(yè)隊伍����,DBSec Labs重點圍繞數(shù)據(jù)庫自身�����、數(shù)據(jù)庫使用環(huán)節(jié)存在的安全漏洞����,以及黑客如何利用數(shù)據(jù)庫漏洞對客戶信息資產(chǎn)進(jìn)行侵害等問題,分析研究防御手段以降低數(shù)據(jù)庫安全風(fēng)險�,實現(xiàn)對數(shù)據(jù)資產(chǎn)的有效保護(hù)。
擴(kuò)展閱讀
安華金和DBSec Labs 再獲“年度杰出安全實驗室”稱號
36氪對話「安華金和」CEO劉曉韜:數(shù)據(jù)安全市場火熱��,技術(shù)創(chuàng)新型公司如何破局�?
安華金和解讀如何讓DBA不能“刪庫”也無法“跑路”
數(shù)據(jù)安全廠商安華金和完成約2億人民幣D輪融資
產(chǎn)品咨詢:4000 258 365 
