Oracle电子商务套件 APPS_NE安全风险

Oracle电子商务套件的最新版本12.2引入了在线修补程序,以减少停机时间要求。这项新的技术功能基于Oracle 11gR2数据库提供的基于版本的重新定义。为了使电子商务套件能够使用Editioning,Oracle向“ APPS”族添加了一个新模式– APPS_NE模式。

APPS_NE模式是APPS先前拥有的那些对象的所有者,这些对象不能被版本化或换句话说; APPS_NEW是未定义数据库对象的APPS架构。 

关于APPS_NE,存在几个安全隐患:

  • 必须在APPLSYS,APPS和APPS_NE之间共享相同的密码。 APPS_NE的默认密码是“ APPS”。
  • APPS_NE具有与APPS类似的提升的系统特权(例如SELECT ANY TABLE),但并不相同。有关授予APPS_NE的56个特权,请参见下面的列表。
  • 必须像执行APPS一样记录,审核和监视APPS_NE。需要将APPS_NE添加到您的审核脚本和过程以及监视解决方案

以下列表总结了APPS和APPS_NE之间的系统特权差异

-APPS_NE具有3个特权APPS没有           
创建材料视图
创建序列
拖放任何类型

 

-APPS具有18种特权,而APPS_NE不具备
ALTER ANY PROCEDURE
ALTER DATABASE
ANALYZE ANY DICTIONARY
CHANGE NOTIFICATION
CREATE ANY DIRECTORY
CREATE ANY EDITION
CREATE ANY PROCEDURE
CREATE EXTERNAL JOB
CREATE JOB
CREATE PUBLIC DATABASE LINK
CREATE PUBLIC SYNONYM
DEQUEUE ANY QUEUE
DROP ANY EDITION
DROP ANY PROCEDURE
DROP PUBLIC SYNONYM
ENQUEUE ANY QUEUE
EXECUTE ANY TYPE
MANAGE ANY QUEUE

 

-APPS_NE具有56个系统特权
ALTER ANY CLUSTER
ALTER ANY INDEX
ALTER ANY MATERIALIZED VIEW
ALTER ANY OUTLINE
ALTER ANY ROLE
ALTER ANY SEQUENCE
ALTER ANY TABLE
ALTER ANY TRIGGER
ALTER ANY TYPE
ALTER SESSION
ALTER SYSTEM
ANALYZE ANY
COMMENT ANY TABLE
CREATE ANY CLUSTER
CREATE ANY CONTEXT
CREATE ANY INDEX
CREATE ANY MATERIALIZED VIEW
CREATE ANY OUTLINE
CREATE ANY SEQUENCE
CREATE ANY SYNONYM
CREATE ANY TABLE
CREATE ANY TRIGGER
CREATE ANY TYPE
CREATE ANY VIEW
CREATE DATABASE LINK
创建材料视图
CREATE PROCEDURE
CREATE ROLE
创建序列
CREATE SESSION
CREATE SYNONYM
CREATE TRIGGER
CREATE TYPE
CREATE VIEW
DELETE ANY TABLE
DROP ANY CLUSTER
DROP ANY CONTEXT
DROP ANY INDEX
DROP ANY MATERIALIZED VIEW
DROP ANY OUTLINE
DROP ANY ROLE
DROP ANY SEQUENCE
DROP ANY SYNONYM
DROP ANY TABLE
DROP ANY TRIGGER
拖放任何类型
DROP ANY VIEW
EXECUTE ANY PROCEDURE
GLOBAL QUERY REWRITE
GRANT ANY ROLE
INSERT ANY TABLE
LOCK ANY TABLE
SELECT ANY SEQUENCE
SELECT ANY TABLE
UNLIMITED TABLESPACE
UPDATE ANY TABLE

 

如有任何疑问,请通过以下方式与我们联系 [email protected]

-Michael Miller,CISSP-ISSMP,CCSP,CCSK

参考文献

 
 
 
 
 
 
 

 Share this post