由于在SYS.DUAL表上授予PUBLIC的过多特权,Oracle电子商务套件环境可能容易受到攻击。 此安全问题已在2015年1月的Oracle重要补丁更新(CPU)中得到解决,并已分配给CVE跟踪标识符CVE-2015-0393。 该问题可能会影响所有Oracle电子商务套件版本,包括11.5、12.0、12.1和12.2。 最近的新闻报道将该漏洞标记为“严重的配置错误”。 实际上,安全问题不仅限于新闻界报道的INDEX特权,而且取决于授予的特权,可能至少存在四个独立的攻击媒介。

整合学估计所有Oracle电子商务套件环境中不到10%容易受到此安全问题的影响 基于我们之前对生产环境的评估。 自2007年以来,Integrigy一直在跟踪此问题并在Oracle电子商务套件环境中进行检查-我们仅在评估的一小部分中发现了问题。 脆弱的环境包括11.5.10.2、12.0.x和12.1.3,以及大多数Oracle电子商务套件 Vision演示环境。 该问题很可能是在维护操作期间引入到环境中的,因为在全新安装的Oracle电子商务套件中找不到该问题。 有关更多信息,请参见本文档的背景部分。

通过(1)应用2015年1月的CPU修补程序或(2)手动吊销授权,从SYS.DUAL表吊销过多特权,可以解决此安全问题。

重要说明:在应用2015年1月CPU补丁或手动吊销授权之前,必须应用数据库补丁19393542以防止可能的时间戳损坏。

整合学已发布有关如何验证您的环境中是否存在此漏洞的详细信息以及修复说明。

标签: 
脆弱性, Oracle电子商务套件, 安全分析