2019年刚刚开始，攻防尝试室在数据库缝隙挖掘方面又有重要新发明。继2018年发明infomix、DB2两种类型的国际数据库若干枚缝隙，这一次又发明了新类型的国际数据库缝隙——Oracle Database Server高危缝隙，目前已经得到Oracle确认，并分配CVE编号。
 
提醒Oracle用户及时下载Oracle官网最新发布的补丁。更多缝隙详细信息请参阅Oracle 2019年1月15日官方颁布的通告信息（https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html），此中北京安华金和科技有限公司的名字赫然在列，获得感谢感动。
 

 

 
1、缝隙简介
CVE编号：CVE-2019-2444
CVSSv3 Base Score: 8.2
CVSS Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Component: Core RDBMS
Supported Versions Affected:  12.2.0.1 18c
 
2、缝隙影响
该缝隙属于提权缝隙，一旦操作了缝隙，能够使得非权限 用户获得权限提升，从而通过一台机器看到数据库里的所有数据，包罗实例。和此外一个缝隙组合使用，不只能够获得整个数据库和库里数据的访谒权限，甚至能够掌控整个处事器，这自然就包罗了数据库文件甚至可以下载、拿走，全部数据都将掉控。
 
3、防止法子
那么，出于对数据的掩护，Oracle数据库自己具备加密成果，解密的密钥存放在钱包里，而钱包也是放在本地磁盘里。非法分子一旦操作数据库缝隙掌握了数据库的root权限，就很容易发明用户密钥存储的位置，一旦拿到钱包里的密钥，这种情况就变得极为危险。
 
鉴于这种危害，安华金和的Oracle TDE加密产品正好可以弥补该缺陷。这是因为Oracle TDE解密数据的密钥没有放在本地，而是放在我们本身的处事器上，所以想要犯警访谒密文数据，阻碍重重，几无可能。
 
4、再说Oracle缝隙
安华金和攻防尝试室在2017年、2018年都挖到了若干差别类型的国际数据库缝隙，好比informix、DB2，此次是第一次挖到Oracle数据库缝隙。后者的缝隙较为少见，挖掘难度相对较大。据官方发布数据看，凡是一个季度也只有几个缝隙爆出。好比，最新季度报出来的也只有区区3个而已。由此足见安华金和攻防尝试室在数据库缝隙挖掘方面的实力。