提醒Oracle用戶及時下載Oracle官網最新公布的補丁。更多漏洞詳細信息請參閱Oracle 2019年1月15日官方發布的公告信息(https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html),其中北京安華金和科技有限公司的名字赫然在列,獲得感謝。
1、漏洞簡介
CVE編號:CVE-2019-2444
CVSSv3 Base Score: 8.2
CVSS Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Component: Core RDBMS
Supported Versions Affected: 12.2.0.1 18c
2、漏洞影響
該漏洞屬于提權漏洞,一旦利用了漏洞,能夠使得非權限 用戶獲得權限提升,從而通過一臺機器看到數據庫里的所有數據,包含實例。和另外一個漏洞組合使用,不僅能夠獲得整個數據庫和庫里數據的訪問權限,甚至能夠掌控整個服務器,這自然就包含了數據庫文件甚至可以下載、拿走,全部數據都將失控。
3、防范措施
那么,出于對數據的保護,Oracle數據庫本身具備加密功能,解密的密鑰存放在錢包里,而錢包也是放在本地磁盤里。不法分子一旦利用數據庫漏洞掌握了數據庫的root權限,就很容易發現用戶密鑰存儲的位置,一旦拿到錢包里的密鑰,這種情況就變得極為危險。
鑒于這種風險,安華金和的Oracle TDE加密產品正好可以彌補該缺陷。這是因為Oracle TDE解密數據的密鑰沒有放在本地,而是放在我們自己的服務器上,所以想要非法訪問密文數據,阻礙重重,幾無可能。
4、再說Oracle漏洞
安華金和攻防實驗室在2017年、2018年都挖到了若干不同類型的國際數據庫漏洞,比如informix、DB2,這次是第一次挖到Oracle數據庫漏洞。后者的漏洞較為少見,挖掘難度相對較大。據官方公布數據看,通常一個季度也只有幾個漏洞爆出。比如,最新季度報出來的也只有區區3個而已。由此足見安華金和攻防實驗室在數據庫漏洞挖掘方面的實力。
