墨墨导读:Oracle 公司发布了最新一期的数据库重要补丁更新建议,我们整理和分析10月号的内容以便供用户和读者参考。 数据技术嘉年华,十周年盛大开启,点我立即报名!大会以“自研·智能·新基建——云和数据促创新 生态融合新十年” 为主题,相邀数据英雄,总结过往十年历程与成绩,展望未来十年趋势与目标!近60场演讲,大咖云集,李飞飞、苏光牛、林晓斌、黄东旭...,快来pick你喜欢的嘉宾主题吧! Oracle Critical Patch Update Advisory - October 2020
链接:https://www.oracle.com/security-alerts/cpuoct2020.html
此关键补丁更新包含18个新的安全补丁,以及下文所述的针对Oracle数据库产品的其他第三方补丁。其中4个漏洞可能在没有验证的情况下被远程利用,即可能在不需要用户凭证的情况下通过网络被利用.其中1个补丁适用于仅限客户端的安装,即没有安装Oracle数据库服务器的安装。 以下几点需要关注: 1. 四个远程无需用户凭证验证漏洞:这四个漏洞分别是 Oracle Text 组件的 CVE-2020-14734 Workload Manager 组件的 CVE-2020-13935 Oracle Application Express 组件的 CVE-2020-11023, ORDS 组件的 CVE-2020-11023 这四个漏洞中,除了第一个,其余三个的攻击复杂性都是 Low,也就是容易被利用,如果数据库应用了这些组件,需要特别注意。
2. 两个Core RDBMS内核级别漏洞: 3. 六个本地Application Express漏洞: 如果未使用 APEX,则无需关注,如果使用了,则需要关注,配合前几个 Apex漏洞统一修复; 4. 一个 Java VM 漏洞: CVE-2020-14743,Java VM 的漏洞过去修复了很多,多数和反序列化有关,如果之前处置过,对权限细化管控,则无需担忧,Create Procedure 权限是这个 CVE 的条件,数据库权限严格管控,则无大风险; 5. 一个高危的 Scheduler 漏洞: CVE-2020-14735 是和本地登录的任务调度相关漏洞,其积分高达8.8分,建议修复; 6. Valut和Developer三个小众组件漏洞: 涉及 SQL Developer、Database Vault 和 Filesystem 三个小众组件的漏洞应当极少部署,一般关注即可; 7. 一个 RDBMS Security 漏洞: CVE-2020-14901 是和数据库安全相关的,和 Analyze Any 权限相关,做好权限管控,则风险不大。 总结一下,远程无需用户账号的漏洞风险高,如果安装了相应组件,则需要抓紧修复;本地的主要漏洞,做好权限管理,则风险不高。如果条件许可,可以根据数据库组件情况,进行统一修复。 数据安全漏洞给我们持续的警示就是: 仅安装核心数据库组件,做好权限管理和账号管控,多数风险可以自然免疫。最后,值得注意的是,Oracle 数据库的这 18个 CVE 漏洞中,仅有一个来自中国用户 数据安全公司安华金和 的 Eddie Zhu: Eddie Zhu of Beijing DBSEC Technology Co., Ltd: CVE-2020-14741
这个漏洞是和 Oracle Database Filesystem 相关的,需要高权限,实践风险应该不高: Resource, Create Table, Create View, Create Procedure, Dbfs_role
感谢 Eddie Zhu.
以下是 Oracle 数据库部分信息的摘录。 Oracle Database Server Risk MatrixNotes:Additional ORDS bugs are documented in the risk matrix "Oracle REST Data Services Risk Matrix"
Additional CVEs addressed are:The patch for CVE-2019-12900 also addresses CVE-2016-3189 The patch for CVE-2020-11023 also addresses CVE-2019-11358 and CVE-2020-11022 The patch for CVE-2020-13935 also addresses CVE-2020-11996, CVE-2020-13934 and CVE-2020-9484 The patch for CVE-2020-14734 also addresses CVE-2016-10244, CVE-2016-10328, CVE-2016-5300, CVE-2016-6153, CVE-2017-10989, CVE-2017-13685, CVE-2017-13745, CVE-2017-14232, CVE-2017-15286, CVE-2017-7857, CVE-2017-7858, CVE-2017-7864, CVE-2017-8105, CVE-2017-8287, CVE-2018-18873, CVE-2018-19139, CVE-2018-19539, CVE-2018-19540, CVE-2018-19541, CVE-2018-19542, CVE-2018-19543, CVE-2018-20346, CVE-2018-20505, CVE-2018-20506, CVE-2018-20570, CVE-2018-20584, CVE-2018-20622, CVE-2018-20843, CVE-2018-6942, CVE-2018-8740, CVE-2018-9055, CVE-2018-9154, CVE-2018-9252, CVE-2019-15903, CVE-2019-16168, CVE-2019-5018, CVE-2019-8457, CVE-2019-9936 and CVE-2019-9937
Additional patches are included in this Critical Patch Update for the following non-exploitable CVEs in this Oracle product family:Core RDBMS (LZ4): CVE-2019-17543 Core RDBMS (Zstandard): CVE-2019-11922 Oracle Database (Perl Expat): CVE-2018-20843 and CVE-2019-15903 Oracle Spatial and Graph (Apache Log4j): CVE-2020-9488 Oracle Spatial and Graph (jackson-databind): CVE-2019-16943, CVE-2017-15095, CVE-2017-17485, CVE-2017-7525, CVE-2018-5968, CVE-2018-7489, CVE-2019-16942 and CVE-2019-17531 Oracle Spatial and Graph MapViewer (jQuery): CVE-2020-11023, CVE-2019-11358 and CVE-2020-11022 SQL Developer (Apache Batik): CVE-2018-8013 and CVE-2017-5662 SQL Developer (Apache Log4j): CVE-2017-5645 SQL Developer (Apache POI): CVE-2017-12626, CVE-2016-5000, CVE-2017-5644 and CVE-2019-12415 SQL Developer (jackson-databind): CVE-2018-7489, CVE-2017-15095, CVE-2017-17485, CVE-2018-1000873, CVE-2018-11307, CVE-2018-12022, CVE-2018-5968, CVE-2019-12086, CVE-2019-12384, CVE-2019-12814, CVE-2019-16335, CVE-2019-20330 and CVE-2020-8840 SQL Developer (JCraft JSch): CVE-2016-5725 SQL Developer Install (Bouncy Castle): CVE-2019-17359, CVE-2016-1000338, CVE-2016-1000339, CVE-2016-1000340, CVE-2016-1000341, CVE-2016-1000342, CVE-2016-1000343, CVE-2016-1000344, CVE-2016-1000345, CVE-2016-1000346, CVE-2016-1000352, CVE-2017-13098, CVE-2018-1000180, CVE-2018-1000613 and CVE-2018-5382
Oracle Database Server Client-Only Installations墨天轮原文链接:https://www./db/34081(复制到浏览器中打开或者点击“阅读原文”立即查看)
数据技术嘉年华,汇聚业内多种数据库最佳实践和顶级技术专家,只为总结 2020 ,与您尽享技术前沿,领先一步卓立变革潮头! 数据和云 ID:OraNews
如有收获,请划至底部,点击“在看”,谢谢!
|