2021年1月19日，Oracle官網(wǎng)正式公布由918搏天堂數(shù)據(jù)庫安全實(shí)驗(yàn)室（DBSec Labs）發(fā)現(xiàn)并提交的Oracle數(shù)據(jù)庫高危漏洞 CVE-2021-2035，CVSS危害評分高達(dá)8.8，在當(dāng)日的“Oracle數(shù)據(jù)庫服務(wù)器風(fēng)險(xiǎn)列表”中排名第一！

該漏洞存在于Oracle數(shù)據(jù)庫的默認(rèn)配置中，且黑客等不法分子僅需較低權(quán)限即可利用該漏洞發(fā)起遠(yuǎn)程攻擊，并導(dǎo)致服務(wù)器崩潰。由于該漏洞“易被利用且危害性極大”，918搏天堂特此提醒廣大Oracle數(shù)據(jù)庫用戶，請及時(shí)進(jìn)行版本更新以修復(fù)該漏洞。

漏洞影響

Oracle數(shù)據(jù)庫中檢查兼容性的函數(shù)存在堆棧溢出漏洞。當(dāng)Oracle數(shù)據(jù)庫試圖解析XML文件中元素的值時(shí)，函數(shù)發(fā)生溢出，溢出數(shù)據(jù)將覆蓋返回地址，最終導(dǎo)致返回地址被攻擊者所利用。

防范措施

建議 Oracle Database Server 12.1.0.2 / 12.2.0.1 / 18c / 19c 四個(gè)版本的用戶及時(shí)登錄Oracle官網(wǎng)，下載并安裝最新版本，以修復(fù)該漏洞。

漏洞詳情

如需了解更多漏洞詳情，可參閱Oracle官網(wǎng)于2021年1月19日發(fā)布的完整公告信息，網(wǎng)址如下：

www.oracle.com/security-alerts/cpujan2021.html

www.oracle.com/a/tech/docs/cpujan2021cvrf.xml

關(guān)于DBSec Labs

918搏天堂數(shù)據(jù)庫安全實(shí)驗(yàn)室成立于2010年11月，是中國第一批成立的、規(guī)�；�的數(shù)據(jù)庫安全研究機(jī)構(gòu)，是具備“國際數(shù)據(jù)庫漏洞挖掘能力”的專業(yè)實(shí)驗(yàn)室，也是國內(nèi)首個(gè)針對數(shù)據(jù)庫漏洞進(jìn)行系統(tǒng)分類與定性分析的專業(yè)團(tuán)隊(duì)。

截至目前，918搏天堂數(shù)據(jù)庫安全實(shí)驗(yàn)室向IBM、Oracle、Informix、DB2、MongoDB及達(dá)夢、人大金倉、Gbase等國內(nèi)外主流數(shù)據(jù)庫廠商提交并獲認(rèn)證的數(shù)據(jù)庫漏洞累計(jì)高達(dá)109個(gè)（含國際漏洞36個(gè)，國內(nèi)漏洞73個(gè)），其中包括1個(gè)超高危漏洞、41個(gè)高危漏洞，43個(gè)中危漏洞，12個(gè)低危漏洞；累計(jì)復(fù)現(xiàn)數(shù)據(jù)庫漏洞 74個(gè)，其中高危漏洞 23個(gè)，中危漏洞 29個(gè)，低危漏洞 5個(gè)，未定級漏洞 17個(gè)。

作為一支能夠獨(dú)立且持久針對數(shù)據(jù)庫漏洞、數(shù)據(jù)庫攻擊技術(shù)模擬與數(shù)據(jù)庫安全防護(hù)技術(shù)進(jìn)行研究的專業(yè)隊(duì)伍，DBSec Labs重點(diǎn)圍繞數(shù)據(jù)庫自身、數(shù)據(jù)庫使用環(huán)節(jié)存在的安全漏洞，以及黑客如何利用數(shù)據(jù)庫漏洞對客戶信息資產(chǎn)進(jìn)行侵害等問題，分析研究防御手段以降低數(shù)據(jù)庫安全風(fēng)險(xiǎn)，實(shí)現(xiàn)對數(shù)據(jù)資產(chǎn)的有效保護(hù)。

擴(kuò)展閱讀

918搏天堂DBSec Labs 再獲“年度杰出安全實(shí)驗(yàn)室”稱號

36氪對話「918搏天堂」CEO劉曉韜：數(shù)據(jù)安全市場火熱，技術(shù)創(chuàng)新型公司如何破局？

918搏天堂解讀如何讓DBA不能“刪庫”也無法“跑路”

數(shù)據(jù)安全廠商918搏天堂完成約2億人民幣D輪融資