|快讯
Oracle 公司 于 年 1 月 19 日,发布了第一个年度安全预警。其中,有 8 个安全警告和 Oracle 数据库部分有关。目前,可以通过最新的 CPU 补丁,可以修复这个安全漏洞。
以下是这 8 个安全漏洞:
CVE--
该漏洞无需身份验证即可远程利用,入侵者可以通过网络利用这些漏洞并且不需要用户凭据。给出的安全系数风险评分是 8.3 分。不过,此攻击复杂度较高,也只影响 Windows 平台
CVE--2035
被通过数据库的Scheduler 定时组件进行攻击,需要 Export Full Database 权限,如果对这个权限有管控权,则可以降低风险。风险评分高达 8.8 分。修复的方法是:梳理数据库的权限,或者应用补丁修复。
CVE--2054
该漏洞和 Sharding 组件有关,大部分个人用户可能用不到,同时,不用分布式组件的用户也可以忽略
CVE--2116 和 CVE--2116
该漏洞和 Oracle Apex 有关,可以通过 HTTP 协议进行攻击。防范方式:做好账户管理,则风险不大
CVE--1993
该漏洞和 Java JVM 有关,也是之前一系列反序列化的漏洞延续,可以通过 Package 的权限限制防范,或者补丁修复
CVE--2045
该漏洞和 Text 组件相关,大部分用户应该没有这个选项。同时建议,数据库安装时,对于用不到的组件,不要选择安装。
CVE--2000
该漏洞是 Unified Audit 统一审计管理特性相关的漏洞,对于权限要求极高,所以风险最低,安全分是 2.4 分。
具体风险列表如下:
