暂无图片
暂无图片
10
暂无图片
暂无图片
2
暂无图片
首页 / 2021年7月Oracle数据库CPU(紧急补丁)发布,共16个网络安全漏洞

2021年7月Oracle数据库CPU(紧急补丁)发布,共16个网络安全漏洞

原创 通讯员 2021-07-22
6205

2021年7月21日Oracle官方发布了第三季度的Critical Patch Update,CPU主要是针对产品安全问题发布的紧急补丁。本次补丁修复的数据库相关漏洞共16个(其中国内安华金和与蚂蚁金服的安全专家共上报5个),另外此次含一个高危漏洞,无需身份验证即可远程利用,官方强烈建议尽快应用补丁。

目录

oracleCriticalPatchUpdate.png

2021年7月数据库风险矩阵

以下是16个漏洞列表,8分以上高危漏洞1个,5-8分中等漏洞6个,以及9个低风险漏洞:

CVE# Component Package and/or Privilege Required Protocol Remote Exploit without Auth.? Base Score Attack Vector Attack Complex Privs Req’d User Interact Scope Confid-entiality Inte-grity Avail-ability Supported Versions Affected
CVE-2021-2351
Advanced Networking Option
None
Oracle Net
 Yes 8.3 Network High None Required Changed High High High
12.1.0.2, 12.2.0.1, 19c
CVE-2021-2328 Oracle Text Create Any Procedure, Alter Any Table Oracle Net No 7.2 Network Low High None Un-changed High High High 12.1.0.2, 12.2.0.1, 19c
CVE-2021-2329 Oracle XML DB Create Any Procedure, Create Public Synonym Oracle Net No 7.2 Network Low High None Un-changed High High High 12.1.0.2, 12.2.0.1, 19c
CVE-2021-2337 Oracle XML DB Create Any Procedure, Create Public Synonym Oracle Net No 7.2 Network Low High None Un-changed High High High 12.1.0.2, 12.2.0.1, 19c
CVE-2020-27193 Oracle Application Express (CKEditor) Valid User Account HTTP No 5.4 Network Low Low Required Changed Low Low None Prior to 21.1.0.00.01
CVE-2020-26870 Oracle Application Express Application Builder (DOMPurify) Valid User Account HTTP No 5.4 Network Low Low Required Changed Low Low None Prior to 21.1.0.00.01
CVE-2021-2460 Oracle Application Express Data Reporter Valid User Account HTTP No 5.4 Network Low Low Required Changed Low Low None Prior to 21.1.0.00.04
CVE-2021-2333 Oracle XML DB Alter User Oracle Net No 4.9 Network Low High None Un-changed High None None 12.1.0.2, 12.2.0.1, 19c
CVE-2019-17545 Oracle Spatial and Graph (GDAL) Create Session Oracle Net No 4.4 Local High Low Required Un-changed None None High 12.2.0.1, 19c
CVE-2021-2330 Core RDBMS Create Table Oracle Net No 4.3 Network Low Low None Un-changed None None Low 19c
CVE-2020-7760 Enterprise Manager Express User Interface (CodeMirror) User Account HTTP No 4.3 Network Low Low None Un-changed None None Low 19c
CVE-2021-2438 Java VM Create Procedure Oracle Net No 4.3 Network Low Low None Un-changed None None Low 12.1.0.2, 12.2.0.1, 19c
CVE-2021-2334 Oracle Database - Enterprise Edition Data Redaction Create Session Oracle Net No 3.5 Network Low Low Required Un-changed None Low None 12.1.0.2, 12.2.0.1, 19c
CVE-2021-2335 Oracle Database - Enterprise Edition Data Redaction Create Session Oracle Net No 3.5 Network Low Low Required Un-changed None Low None 12.1.0.2, 12.2.0.1, 19c
CVE-2021-2336 Oracle Database - Enterprise Edition Data Redaction Create Session Oracle Net No 3.5 Network Low Low Required Un-changed None Low None 12.1.0.2, 12.2.0.1, 19c
CVE-2021-2326 Database Vault DBA Oracle Net No 2.7 Network Low High None Un-changed Low None None 12.2.0.1, 19c

高危漏洞CVE-2021-2351

其中高危漏洞CVE-2021-2351为Moritz Bechler of SySS GmbH报告,该漏洞在使用Native Network Encryption网络加密时存在,旧的客户端一般使用DES、3DES、RC4等较弱的加密算法,存在安全隐患,无需身份验证即可远程利用,但是攻击的复杂度还是较高。

可以通过以下参数来排查是否使用了NNE,并确实使用的加密是否为以上提到的算法。

SQLNET.ENCRYPTION_SERVER=REQUESTED or
SQLNET.ENCRYPTION_SERVER=REQUIRED

复制

本次补丁通过引入两个新的配置参数SQLNET.ALLOW_WEAK_CRYPTO_CLIENTS、SQLNET.ALLOW_WEAK_CRYPTO,如果设置为 FALSE,它们会阻止几个较旧的、安全性较低的加密算法。

详细可以参考Changes in Native Network Encryption (NNE) with the July 2021 Critical Patch Update (Doc ID 2791571.1)。

北京安华金和的Qiguang Zhu上报4个

  • CVE-2021-2328
  • CVE-2021-2329
  • CVE-2021-2333
  • CVE-2021-2337

这4个漏掉都是具有Create Any Procedure、Alter Any Table、Create Public Synonym、Alter User等高权限的攻击者可以利用该漏洞通过 Oracle Net 进行网络访问来破坏 Oracle Text和XML DB。成功攻击此漏洞可能会导致Oracle Text和XML DB被接管,受影响的版本为12.1.0.2、12.2.0.1 和 19c。

蚂蚁金服巴斯光年安全实验室的Yaoguang Chen上报1个

  • CVE-2021-2330

该漏洞是具有创建表权限的低特权攻击者通过 Oracle Net 访问网络来破坏核心 RDBMS,攻击者利用此漏洞可获取更新、插入或删除数据的权限,还会导致数据库部分功能无法对外提供服务,受影响的版本为19c。

其他漏洞

Database Vault防火墙相关的1个,Oracle Database - Enterprise Edition Data Redaction有3个,Java VM有1个,OEM有1个,Oracle Spatial and Graph有1个,Oracle Application有3个,详细请查看 https://www.oracle.com/security-alerts/cpujul2021.html。

2021年往期CPU回顾

《2021年4月Oracle数据库CPU(重要补丁更新)发布》
《Oracle 2021年1月安全警报: Critical Patch Update 发布8个数据库警告》

oraclepatch
最后修改时间:2021-07-28 12:54:16
「喜欢这篇文章,您的关注和赞赏是给作者最好的鼓励」
关注作者
1人已赞赏
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文章的来源(墨天轮),文章链接,文章作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论

Garry
暂无图片
3年前
评论
暂无图片 0
3年前
暂无图片 点赞
评论
黎青峰
暂无图片
3年前
评论
暂无图片 0
太及时了
3年前
暂无图片 点赞
评论

相关阅读

【纯干货】Oracle 19C RU 19.27 发布,如何快速升级和安装?
Lucifer三思而后行
735次阅读
2025-04-18 14:18:38
Oracle RAC 一键安装翻车?手把手教你如何排错!
Lucifer三思而后行
644次阅读
2025-04-15 17:24:06
Oracle数据库一键巡检并生成HTML结果,免费脚本速来下载!
陈举超
564次阅读
2025-04-20 10:07:02
【ORACLE】你以为的真的是你以为的么?--ORA-38104: Columns referenced in the ON Clause cannot be updated
DarkAthena
511次阅读
2025-04-22 00:13:51
【活动】分享你的压箱底干货文档,三篇解锁进阶奖励!
墨天轮编辑部
508次阅读
2025-04-17 17:02:24
【ORACLE】记录一些ORACLE的merge into语句的BUG
DarkAthena
495次阅读
2025-04-22 00:20:37
一页概览:Oracle GoldenGate
甲骨文云技术
477次阅读
2025-04-30 12:17:56
火焰图--分析复杂SQL执行计划的利器
听见风的声音
436次阅读
2025-04-17 09:30:30
3月“墨力原创作者计划”获奖名单公布
墨天轮编辑部
381次阅读
2025-04-15 14:48:05
OR+DBLINK的关联SQL优化思路
布衣
369次阅读
2025-05-05 19:28:36
墨天轮编辑部
关注
2150
文章
240
粉丝
995K+
浏览量
暂无图片
获得了298次点赞
暂无图片
内容获得217次评论
暂无图片
获得了344次收藏
TA的专栏
2025年国产数据库中标信息汇总
收录31篇内容
2024年数据库相关公司财报
收录33篇内容
2024年数据库厂商年终总结
收录25篇内容
热门文章
国产开源的跨平台数据库建模工具——PDManer
2022-05-20 23186浏览
国测结果公布丨11款数据库通过第一批“安全可靠测评”
2023-12-26 14662浏览
一套国产数据库多少钱?-《国产数据库价格汇总表》(2025.2.25更新)
2024-09-27 10346浏览
OceanBase开源版与TiDB对比测试报告
2021-06-11 8888浏览
[译文] 分布式系统中的时间同步:TiDB 的时间戳预言机(TSO)
2022-05-18 8007浏览
最新文章
NASA 摒弃 Neo4j 数据库 转而采用 Memgraph 节省成本
3天前 112浏览
新旧势力再较量,数据库不需要投机|企服国际观察
3天前 23浏览
火山引擎发布国内首个数据库智能助手DBCopilot,用AI搞定数据“存管取”
4天前 171浏览
【海量数据】2024年年报和2025年一季报点评:数据库自主产品营收增亮眼,搭乘党政信创新风
5天前 127浏览
「民生计算机」重估数据库:未来软件=Agent+数据库
5天前 19浏览
目录
  • 2021年7月数据库风险矩阵
  • 高危漏洞CVE-2021-2351
  • 北京安华金和的Qiguang Zhu上报4个
  • 蚂蚁金服巴斯光年安全实验室的Yaoguang Chen上报1个
  • 其他漏洞
  • 2021年往期CPU回顾