Oracle在本周二發布了本年度第一個安全補丁升級(CPU)公告,隨之而來的,還有一些令人不安的漏洞預警。也許這兩天運維同學們需要給自家公司的Oracle產品打上新發布的169安全補丁了……其中,在Oracle電子商務套件有一個嚴重的漏洞,下文會對其做相應的分析。
疑似后門:漏洞CVE-2015-0393
江湖人稱“Oracle漏洞獵手”的David Litchfield在去年6月11日發現過Oracle一個疑似后門的嚴重漏洞CVE-2015-0393。
日前Litchfield向我們透漏了一些漏洞細節:
在該漏洞中,Oracle數據庫內的PUBLIC角色在DUAL表中被授予了索引權限,也就是說任何用戶都可以在該表創建索引。
DUAL表是SYS用戶下的一張內部表,所有用戶都可以使用DUAL名稱訪問,無論什么時候這個表總是存在。在DUAL表中創建了基于函數的索引后,黑客將暫時獲得SYS用戶權限(SYSDBA),可執行任意SQL語句進而嘗試控制整個服務器。如果存在這個漏洞的電子商務套件可以從外網遠程訪問的話,攻擊者只要有PUBLIC角色(不需要用戶密碼),就可以跟進后續一大波的漏洞攻擊。
Litchfield覺得PUBLIC角色是不應該擁有DUAL表的索引權限,據此他判斷出這個漏洞可能是由于代碼編寫出現的bug或者是開發人員刻意留下的后門。
漏洞進展
在一次給客戶進行安全檢測的過程中,Litchfield發現了這個漏洞。
由于該漏洞可以直接獲得SYSDBA權限,他最開始以為這是某人留的后門,但后來與客戶交流后,客戶的技術人員開始調查該“后門”事件,最后發現該權限授予漏洞是在Oracle電子商務套件安裝時就有的。
Litchfield承認從Oracle得知,官方技術人員檢查了該漏洞,但卻表示并沒有找到該權限授予漏洞出現的時間和漏洞成因。Oracle在嚴重補丁升級時表示,這個漏洞并非遠程執行。Oracle給其評級為6分(滿分10分)。
Oracle官方表示,當前漏洞已經被修復。
其他重要補丁升級情況
在Java平臺上,Oracle為19個漏洞打了補丁,其中有14個漏洞可以遠程利用,包括部分嚴重級別很高的漏洞。然而,Oracle表示Java漏洞的數量會呈遞減趨勢,這是由歷史數據驗證過的。
同時,Oracle還修補了八個最重要的Oracle數據服務器的漏洞,其中沒有遠程利用的漏洞,也沒有在客戶端利用的。其中唯一的高危漏洞,是Oracle Sun Systems的Fujitsu M10-1, M10-4 and M10-4S servers。
京公網安備 11010502049343號