Oracle發(fā)布數(shù)據(jù)庫產(chǎn)品安全警報(bào)漏洞修復(fù)
發(fā)布時(shí)間:2012年09月04日 來源:連用科技
由于在剛剛結(jié)束的2012黑帽大會(huì)上爆出了一系列漏洞,,因此Oracle近期發(fā)布了針對(duì)數(shù)據(jù)庫產(chǎn)品的安全警報(bào)漏洞修復(fù),。該漏洞是由數(shù)據(jù)安全咨詢顧問David Litchfield在黑帽大會(huì)上演示的,包括一系列的概念驗(yàn)證(proof-of-concept)攻擊,,通過這一漏洞,,用戶可以將權(quán)限提升為DBA(database administrator)級(jí)別,,并可以通過SQL注入來遠(yuǎn)程操縱數(shù)據(jù)庫索引記錄。
會(huì)上Litchfield演示了三個(gè)針對(duì)Oracle已發(fā)布補(bǔ)丁的溢出攻擊,,這些補(bǔ)丁全部都是兩年前報(bào)告發(fā)布的,,其中包括CVE-2010-0902(非特定的OLAP漏洞),CVE-2010-3512(非特定的核心RDBMS組件漏洞)以及CVE-2012-0552(非特定Oracle Spatial組件漏洞),。除上述三個(gè)之外,,Litchfield還演示了另外一個(gè)針對(duì)未發(fā)布補(bǔ)丁的溢出攻擊,并已經(jīng)提交給MITRE機(jī)構(gòu)的公共漏洞和暴露(Common Vulnerabilities and Exposures,CVE)數(shù)據(jù)庫,。
Oracle在本次發(fā)布的安全警報(bào)(security alert)中建議用戶盡快為Oracle Database產(chǎn)品打上補(bǔ)丁,,其中涉及到的產(chǎn)品版本包括10.2.0.3、10.2.0.4,、10.2.0.5,、11.1.0.7、11.2.0.2和11.2.0.3.
在原文中Oracle聲稱:“由于Oracle融合中間件,、企業(yè)管理器以及E-Business Suite等產(chǎn)品均包含Oracle Database Server組件,,所以上述產(chǎn)品也同樣受到本次安全漏洞影響。Oracle建議用戶盡快安裝補(bǔ)丁程序,?!?/span>
