由于在剛剛結束的2012黑帽大會上爆出了一系列漏洞,因此Oracle近期發布了針對數據庫產品的安全警報漏洞修復。該漏洞是由數據安全咨詢顧問David Litchfield在黑帽大會上演示的,包括一系列的概念驗證(proof-of-concept)攻擊,通過這一漏洞,用戶可以將權限提升為DBA(database administrator)級別,并可以通過SQL注入來遠程操縱數據庫索引記錄。
會上Litchfield演示了三個針對Oracle已發布補丁的溢出攻擊,這些補丁全部都是兩年前報告發布的,其中包括CVE-2010-0902(非特定的OLAP漏洞),CVE-2010-3512(非特定的核心RDBMS組件漏洞)以及CVE-2012-0552(非特定Oracle Spatial組件漏洞)。除上述三個之外,Litchfield還演示了另外一個針對未發布補丁的溢出攻擊,并已經提交給MITRE機構的公共漏洞和暴露(Common Vulnerabilities and Exposures,CVE)數據庫。
在原文中Oracle聲稱:“由于Oracle融合中間件、企業管理器以及E-Business Suite等產品均包含Oracle Database Server組件,所以上述產品也同樣受到本次安全漏洞影響。Oracle建議用戶盡快安裝補丁程序。”
