Oracle在本周二發(fā)布了本年度第一個安全補丁升級(CPU)公告,隨之而來的,還有一些令人不安的漏洞預(yù)警。也許這兩天運維同學們需要給自家公司的Oracle產(chǎn)品打上新發(fā)布的169安全補丁了……其中,在Oracle電子商務(wù)套件有一個嚴重的漏洞,下文會對其做相應(yīng)的分析。
疑似后門:漏洞CVE-2015-0393
江湖人稱“Oracle漏洞獵手”的David Litchfield在去年6月11日發(fā)現(xiàn)過Oracle一個疑似后門的嚴重漏洞CVE-2015-0393。
日前Litchfield向我們透漏了一些漏洞細節(jié):
在該漏洞中,Oracle數(shù)據(jù)庫內(nèi)的PUBLIC角色在DUAL表中被授予了索引權(quán)限,也就是說任何用戶都可以在該表創(chuàng)建索引。
DUAL表是SYS用戶下的一張內(nèi)部表,所有用戶都可以使用DUAL名稱訪問,無論什么時候這個表總是存在。在DUAL表中創(chuàng)建了基于函數(shù)的索引后,黑客將暫時獲得SYS用戶權(quán)限(SYSDBA),可執(zhí)行任意SQL語句進而嘗試控制整個服務(wù)器。如果存在這個漏洞的電子商務(wù)套件可以從外網(wǎng)遠程訪問的話,攻擊者只要有PUBLIC角色(不需要用戶密碼),就可以跟進后續(xù)一大波的漏洞攻擊。
Litchfield覺得PUBLIC角色是不應(yīng)該擁有DUAL表的索引權(quán)限,據(jù)此他判斷出這個漏洞可能是由于代碼編寫出現(xiàn)的bug或者是開發(fā)人員刻意留下的后門。
漏洞進展
在一次給客戶進行安全檢測的過程中,Litchfield發(fā)現(xiàn)了這個漏洞。
由于該漏洞可以直接獲得SYSDBA權(quán)限,他最開始以為這是某人留的后門,但后來與客戶交流后,客戶的技術(shù)人員開始調(diào)查該“后門”事件,最后發(fā)現(xiàn)該權(quán)限授予漏洞是在Oracle電子商務(wù)套件安裝時就有的。
Litchfield承認從Oracle得知,官方技術(shù)人員檢查了該漏洞,但卻表示并沒有找到該權(quán)限授予漏洞出現(xiàn)的時間和漏洞成因。Oracle在嚴重補丁升級時表示,這個漏洞并非遠程執(zhí)行。Oracle給其評級為6分(滿分10分)。
Oracle官方表示,當前漏洞已經(jīng)被修復(fù)。
其他重要補丁升級情況
在Java平臺上,Oracle為19個漏洞打了補丁,其中有14個漏洞可以遠程利用,包括部分嚴重級別很高的漏洞。然而,Oracle表示Java漏洞的數(shù)量會呈遞減趨勢,這是由歷史數(shù)據(jù)驗證過的。
同時,Oracle還修補了八個最重要的Oracle數(shù)據(jù)服務(wù)器的漏洞,其中沒有遠程利用的漏洞,也沒有在客戶端利用的。其中唯一的高危漏洞,是Oracle Sun Systems的Fujitsu M10-1, M10-4 and M10-4S servers。