由于在剛剛結(jié)束的2012黑帽大會上爆出了一系列漏洞,因此Oracle近期發(fā)布了針對數(shù)據(jù)庫產(chǎn)品的安全警報漏洞修復(fù)。該漏洞是由數(shù)據(jù)安全咨詢顧問David Litchfield在黑帽大會上演示的,包括一系列的概念驗證(proof-of-concept)攻擊,通過這一漏洞,用戶可以將權(quán)限提升為DBA(database administrator)級別,并可以通過SQL注入來遠(yuǎn)程操縱數(shù)據(jù)庫索引記錄。
會上Litchfield演示了三個針對Oracle已發(fā)布補丁的溢出攻擊,這些補丁全部都是兩年前報告發(fā)布的,其中包括CVE-2010-0902(非特定的OLAP漏洞),CVE-2010-3512(非特定的核心RDBMS組件漏洞)以及CVE-2012-0552(非特定Oracle Spatial組件漏洞)。除上述三個之外,Litchfield還演示了另外一個針對未發(fā)布補丁的溢出攻擊,并已經(jīng)提交給MITRE機構(gòu)的公共漏洞和暴露(Common Vulnerabilities and Exposures,CVE)數(shù)據(jù)庫。
Oracle在本次發(fā)布的安全警報(security alert)中建議用戶盡快為Oracle Database產(chǎn)品打上補丁,其中涉及到的產(chǎn)品版本包括10.2.0.3、10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2和11.2.0.3.
在原文中Oracle聲稱:“由于Oracle融合中間件、企業(yè)管理器以及E-Business Suite等產(chǎn)品均包含Oracle Database Server組件,所以上述產(chǎn)品也同樣受到本次安全漏洞影響。Oracle建議用戶盡快安裝補丁程序。”
京公網(wǎng)安備 11010502049343號