| 快訊

Oracle 公司 于 2021 年 1 月 19 日，發(fā)布了第一個(gè)年度安全預(yù)警。其中，有 8 個(gè)安全警告和 Oracle 數(shù)據(jù)庫(kù)部分有關(guān)。目前，可以通過(guò)最新的 CPU 補(bǔ)丁，可以修復(fù)這個(gè)安全漏洞。

以下是這 8 個(gè)安全漏洞：

• CVE-2021-2018
  該漏洞無(wú)需身份驗(yàn)證即可遠(yuǎn)程利用，入侵者可以通過(guò)網(wǎng)絡(luò)利用這些漏洞并且不需要用戶(hù)憑據(jù)。給出的安全系數(shù)風(fēng)險(xiǎn)評(píng)分是 8.3 分。不過(guò)，此攻擊復(fù)雜度較高，也只影響 Windows 平臺(tái)

• CVE-2021-2035
  被通過(guò)數(shù)據(jù)庫(kù)的Scheduler 定時(shí)組件進(jìn)行攻擊，需要 Export Full Database 權(quán)限，如果對(duì)這個(gè)權(quán)限有管控權(quán)，則可以降低風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)分高達(dá) 8.8 分。修復(fù)的方法是：梳理數(shù)據(jù)庫(kù)的權(quán)限，或者應(yīng)用補(bǔ)丁修復(fù)。

• CVE-2021-2054
  該漏洞和 Sharding 組件有關(guān)，大部分個(gè)人用戶(hù)可能用不到，同時(shí)，不用分布式組件的用戶(hù)也可以忽略

• CVE-2021-2116 和 CVE-2021-2116
  該漏洞和 Oracle Apex 有關(guān)，可以通過(guò) HTTP 協(xié)議進(jìn)行攻擊。防范方式：做好賬戶(hù)管理，則風(fēng)險(xiǎn)不大

• CVE-2021-1993
  該漏洞和 Java JVM 有關(guān)，也是之前一系列反序列化的漏洞延續(xù)，可以通過(guò) Package 的權(quán)限限制防范，或者補(bǔ)丁修復(fù)

• CVE-2021-2045
  該漏洞和 Text 組件相關(guān)，大部分用戶(hù)應(yīng)該沒(méi)有這個(gè)選項(xiàng)。同時(shí)建議，數(shù)據(jù)庫(kù)安裝時(shí)，對(duì)于用不到的組件，不要選擇安裝。

• CVE-2021-2000
  該漏洞是 Unified Audit 統(tǒng)一審計(jì)管理特性相關(guān)的漏洞，對(duì)于權(quán)限要求極高，所以風(fēng)險(xiǎn)最低，安全分是 2.4 分。

具體風(fēng)險(xiǎn)列表如下：