在美西時(shí)間2018一月16日，北京時(shí)間今天凌晨，Oracle公司發(fā)布了 2018 年第一個(gè)安全補(bǔ)丁，這被稱為 - Oracle Critical Patch Update，縮寫為 CPU。

Oracle強(qiáng)烈推薦用戶根據(jù)實(shí)際情況，盡快應(yīng)用這些安全補(bǔ)丁。

我們看一下關(guān)于數(shù)據(jù)庫的部分，Oracle這一次修復(fù)了什么漏洞。關(guān)于數(shù)據(jù)庫部分有 5 個(gè)安全漏洞被修復(fù)，其中兩個(gè)和數(shù)據(jù)庫核心組件相關(guān)：Core RDBMS，值得引起注意，其他 3 個(gè)和組件相關(guān)：

其中第一個(gè)和第五個(gè)的CVE編號分別是：CVE-2017-10282 ，意味著這是一個(gè)在2017年被披露的問題。這個(gè)問題在CVE網(wǎng)站未被披露。

第五個(gè)是 CVE-2018-2575 ，在CVE網(wǎng)站上可以找到簡單的描述，但是核心信息是不會披露的，你不會了解到任何相關(guān)的內(nèi)容，這是為了確保安全，但是這也為用戶判斷是否修復(fù)、是否可以通過其他方式繞過漏洞帶來了困惑。

是否應(yīng)用這些補(bǔ)丁？要想做出判斷就必須深入了解誘發(fā)問題的可能情況。

我們看看第一個(gè)核心問題：CVE-2017-10282。這個(gè)問題會因?yàn)?Create Session, Execute Catalog Role 觸發(fā)，也就是說這是因?yàn)闄?quán)限引起的，影響的版本包括已經(jīng)發(fā)布的12從版本：12.1.0.2, 12.2.0.1 。

我們來重現(xiàn)一下這個(gè)問題，首先在多租戶數(shù)據(jù)庫中，創(chuàng)建一個(gè)具有 execute_catalog_role 權(quán)限的用戶?：

我們看看會發(fā)生什么樣的風(fēng)險(xiǎn)。

具備了權(quán)限，當(dāng)我執(zhí)行了一條語句命令之后：

執(zhí)行SQL注入查詢之后，這個(gè)普通用戶獲得了DBA的權(quán)限。這就是這個(gè)漏洞的影響之處。這是一個(gè) 12.2 版本的數(shù)據(jù)庫。獲得DBA權(quán)限的用戶，就可以在數(shù)據(jù)庫中為所欲為，這個(gè)漏洞夠嚴(yán)重嗎？

如果了解了風(fēng)險(xiǎn)，就可以通過權(quán)限控制，防范這個(gè)風(fēng)險(xiǎn)，也就不一定非要通過補(bǔ)丁去修正。

清醒的認(rèn)知風(fēng)險(xiǎn)，正是正確判斷決策的開始。

原文發(fā)布時(shí)間為：2018-01-16

本文作者：蓋國強(qiáng)

本文來自云棲社區(qū)合作伙伴“數(shù)據(jù)和云”，了解相關(guān)信息可以關(guān)注“數(shù)據(jù)和云”微信公眾號

總結(jié)

以上是生活随笔為你收集整理的安全警报：Oracle 2018一月号安全补丁修复由来已久安全漏洞的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。