Oracle在本周二發(fā)布了本年度第一個(gè)安全補(bǔ)丁升級(jí)(CPU)公告，隨之而來的，還有一些令人不安的漏洞預(yù)警。也許這兩天運(yùn)維同學(xué)們需要給自家公司的Oracle產(chǎn)品打上新發(fā)布的169安全補(bǔ)丁了……其中，在Oracle電子商務(wù)套件有一個(gè)嚴(yán)重的漏洞，下文會(huì)對(duì)其做相應(yīng)的分析。

疑似后門：漏洞CVE-2015-0393

江湖人稱“Oracle漏洞獵手”的David Litchfield在去年6月11日發(fā)現(xiàn)過Oracle一個(gè)疑似后門的嚴(yán)重漏洞CVE-2015-0393。

日前Litchfield向我們透漏了一些漏洞細(xì)節(jié)：

在該漏洞中，Oracle數(shù)據(jù)庫(kù)內(nèi)的PUBLIC角色在DUAL表中被授予了索引權(quán)限，也就是說任何用戶都可以在該表創(chuàng)建索引。

DUAL表是SYS用戶下的一張內(nèi)部表，所有用戶都可以使用DUAL名稱訪問，無論什么時(shí)候這個(gè)表總是存在。在DUAL表中創(chuàng)建了基于函數(shù)的索引后，黑客將暫時(shí)獲得SYS用戶權(quán)限(SYSDBA)，可執(zhí)行任意SQL語(yǔ)句進(jìn)而嘗試控制整個(gè)服務(wù)器。如果存在這個(gè)漏洞的電子商務(wù)套件可以從外網(wǎng)遠(yuǎn)程訪問的話，攻擊者只要有PUBLIC角色(不需要用戶密碼)，就可以跟進(jìn)后續(xù)一大波的漏洞攻擊。

Litchfield覺得PUBLIC角色是不應(yīng)該擁有DUAL表的索引權(quán)限，據(jù)此他判斷出這個(gè)漏洞可能是由于代碼編寫出現(xiàn)的bug或者是開發(fā)人員刻意留下的后門。

漏洞進(jìn)展

在一次給客戶進(jìn)行安全檢測(cè)的過程中，Litchfield發(fā)現(xiàn)了這個(gè)漏洞。

由于該漏洞可以直接獲得SYSDBA權(quán)限，他最開始以為這是某人留的后門，但后來與客戶交流后，客戶的技術(shù)人員開始調(diào)查該“后門”事件，最后發(fā)現(xiàn)該權(quán)限授予漏洞是在Oracle電子商務(wù)套件安裝時(shí)就有的。

Litchfield承認(rèn)從Oracle得知，官方技術(shù)人員檢查了該漏洞，但卻表示并沒有找到該權(quán)限授予漏洞出現(xiàn)的時(shí)間和漏洞成因。Oracle在嚴(yán)重補(bǔ)丁升級(jí)時(shí)表示，這個(gè)漏洞并非遠(yuǎn)程執(zhí)行。Oracle給其評(píng)級(jí)為6分(滿分10分)。

Oracle官方表示，當(dāng)前漏洞已經(jīng)被修復(fù)。

其他重要補(bǔ)丁升級(jí)情況

在Java平臺(tái)上，Oracle為19個(gè)漏洞打了補(bǔ)丁，其中有14個(gè)漏洞可以遠(yuǎn)程利用，包括部分嚴(yán)重級(jí)別很高的漏洞。然而，Oracle表示Java漏洞的數(shù)量會(huì)呈遞減趨勢(shì)，這是由歷史數(shù)據(jù)驗(yàn)證過的。

同時(shí)，Oracle還修補(bǔ)了八個(gè)最重要的Oracle數(shù)據(jù)服務(wù)器的漏洞，其中沒有遠(yuǎn)程利用的漏洞，也沒有在客戶端利用的。其中唯一的高危漏洞，是Oracle Sun Systems的Fujitsu M10-1, M10-4 and M10-4S servers。

更多漏洞資料

Oracle嚴(yán)重補(bǔ)丁升級(jí)公告

CVE-2015-0393

參考來源：http://threatpost.com/oracle-patches-backdoor-vulnerability-recommends-disabling-ssl/110555