前面的文章我們已經(jīng)分析過(guò)�,現(xiàn)階段數(shù)據(jù)庫(kù)的安全威脅主要來(lái)自于人為因素�、第三方惡意插件、數(shù)據(jù)庫(kù)本身系統(tǒng)漏洞三個(gè)方面���。在這三個(gè)威脅中��,數(shù)據(jù)庫(kù)本身系統(tǒng)的漏洞依舊是數(shù)據(jù)庫(kù)安全最嚴(yán)重的威脅���,這不單是因?yàn)閿?shù)據(jù)庫(kù)本身的漏洞對(duì)于數(shù)據(jù)庫(kù)的安全破壞性強(qiáng),其中還有一個(gè)重要原因就是隨著數(shù)據(jù)庫(kù)使用范圍的不斷擴(kuò)大�����,功能應(yīng)用的深入,系統(tǒng)中的漏洞也會(huì)不斷被暴露���。
Oracle最近發(fā)布了今年的第一批安全補(bǔ)丁�,這一批補(bǔ)丁共計(jì)修復(fù)了270個(gè)漏洞����,在數(shù)據(jù)庫(kù)方面,在廣泛使用的MySQL數(shù)據(jù)庫(kù)服務(wù)器中修補(bǔ)了27個(gè)漏洞��,在Oracle數(shù)據(jù)庫(kù)服務(wù)器和相關(guān)組件中修補(bǔ)了5個(gè)漏洞�。Java中已經(jīng)修復(fù)了17個(gè)漏洞。但這還不是Oracle迄今為止最大的重要補(bǔ)丁更新�,早在2016年7月發(fā)布了276個(gè)安全補(bǔ)丁。Oracle的補(bǔ)丁計(jì)劃一般按季度發(fā)布�����,據(jù)來(lái)自網(wǎng)絡(luò)安全公司ERPS的分析師指出�,超過(guò)200個(gè)補(bǔ)丁的Oracle已經(jīng)成為常態(tài)���。
在剛剛發(fā)布的安全補(bǔ)丁中���,其中許多漏洞都可以被遠(yuǎn)程利用��,而且無(wú)需身份驗(yàn)證��。大多數(shù)修復(fù)是針對(duì)Oracle電子商務(wù)套件���,Oracle融合中間件,Oracle PeopleSoft����,Oracle零售應(yīng)用,Oracle JD Edwards�,Oracle供應(yīng)鏈產(chǎn)品和Oracle數(shù)據(jù)庫(kù)服務(wù)器等業(yè)務(wù)產(chǎn)品中的缺陷。占40%的補(bǔ)丁漏洞,其中118個(gè)可遠(yuǎn)程利用�����,最高評(píng)級(jí)的在常見(jiàn)漏洞評(píng)分系統(tǒng)中得分為9.2(至關(guān)重要)����。另外37個(gè)漏洞在Oracle Financial Services中修補(bǔ),18個(gè)在Oracle融合中間件中修補(bǔ)��,8個(gè)在Oracle零售應(yīng)用中修補(bǔ)��,8個(gè)在Oracle PeopleSoft和4個(gè)在Oracle Primavera產(chǎn)品套件中修補(bǔ)。這些產(chǎn)品用于各種行業(yè)�。
最關(guān)鍵的漏洞,CVSS評(píng)分為10��,在Primavera P6企業(yè)項(xiàng)目組合管理中進(jìn)行了修補(bǔ)�����?�?梢酝ㄟ^(guò)HTTP利用漏洞����,并可能導(dǎo)致未經(jīng)授權(quán)的關(guān)鍵數(shù)據(jù)的創(chuàng)建,刪除或修改�����。
Oracle WebLogic Server���,PeopleSoft Enterprise PeopleTools�,JD Edwards EnterpriseOne工具和企業(yè)管理器基礎(chǔ)平臺(tái)中的CVSS分?jǐn)?shù)為9.8�,漏洞是固定的���。如果不進(jìn)行修補(bǔ)�����,這些可能導(dǎo)致受影響系統(tǒng)完全損害�。
從以上兩點(diǎn)我們不難看出,不論是從數(shù)量���,還是漏洞的危害和被利用程度上�����,數(shù)據(jù)庫(kù)本身的系統(tǒng)漏洞對(duì)于數(shù)據(jù)庫(kù)安全都存在相當(dāng)嚴(yán)重的危害性��。數(shù)據(jù)庫(kù)往往存貯企業(yè)或者團(tuán)體的關(guān)鍵數(shù)據(jù)�,一旦被一些攻擊者破壞�����,將給企業(yè)帶來(lái)難以估量的損失����。安華金和數(shù)據(jù)庫(kù)安全專(zhuān)家建議數(shù)據(jù)庫(kù)用戶(hù)要及時(shí)更新數(shù)據(jù)庫(kù)補(bǔ)丁,如果因?yàn)榉N種原因不能及時(shí)更新數(shù)據(jù)庫(kù)補(bǔ)丁�,建議使用帶有虛擬補(bǔ)丁的數(shù)據(jù)庫(kù)防火墻對(duì)數(shù)據(jù)庫(kù)進(jìn)行保護(hù)。
產(chǎn)品咨詢(xún):4000 258 365 
