温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

怎么理解CVE安全漏洞

发布时间:2021-11-11 13:57:31 来源:亿速云 阅读:210 作者:iii 栏目:关系型数据库

这篇文章主要讲解了“怎么理解CVE安全漏洞”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“怎么理解CVE安全漏洞”吧!

几乎oracle的每个季度发布的数据库补丁Oracle Database Server Risk Matrix一项中都有如下语句描述的安全补丁

This vulnerability is remotely exploitable without authentication, i.e., may be exploited over a network without requiring user credentials. 

这个漏洞在没有身份验证的情况下是可以被远程利用的,例如。,可以在不需要用户凭证的情况下通过网络进行利用

This vulnerability is remotely exploitable without authentication

这个漏洞在没有身份验证的情况下是可以被远程利用的

这句话的意思,没有身份验证就是没有某个权限比如没有DBA权限而只有Create Session权限的情况下,可能绕过正常的授权,而获取DBA权限。

就是可以绕过正常的用户身份或者权限认证,所以是漏洞。

比如:仅有查询权限的用户可以对数据进行增、删、改操作,非常危险。

比如:当一个用户只有EXECUTE_CATALOG_ROLE权限时,因为sql注入,该用户就可以获得DBA权限。

CVE#                 Component      Package and/or Privilege Required

CVE-2018-2939        Core RDBMS     Local Logon

CVE-2018-2841        Java VM        Create Session, Create Procedure

CVE-2018-3004        Java VM        Create Session, Create Procedure

CVE-2018-3004和CVE-2018-2841,一个用户只有Create Session, Create Procedure权限下,就可能绕过正常的权限操作从而获得更高的权限。

也就是说,一个用户密码被人盗了或别人使用这个账号,别人可以利用这个漏洞提高这个用户的权限,进而干坏事。

感谢各位的阅读,以上就是“怎么理解CVE安全漏洞”的内容了,经过本文的学习后,相信大家对怎么理解CVE安全漏洞这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是亿速云,小编将为大家推送更多相关知识点的文章,欢迎关注!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

cve
AI