共计 1064 个字符,预计需要花费 3 分钟才能阅读完成。
这篇文章主要讲解了“怎么理解 CVE 安全漏洞”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着丸趣 TV 小编的思路慢慢深入,一起来研究和学习“怎么理解 CVE 安全漏洞”吧!
几乎 oracle 的每个季度发布的数据库补丁 Oracle Database Server Risk Matrix 一项中都有如下语句描述的安全补丁
This vulnerability is remotely exploitable without authentication, i.e., may be exploited over a network without requiring user credentials.
这个漏洞在没有身份验证的情况下是可以被远程利用的,例如。,可以在不需要用户凭证的情况下通过网络进行利用
This vulnerability is remotely exploitable without authentication
这个漏洞在没有身份验证的情况下是可以被远程利用的
这句话的意思,没有身份验证就是没有某个权限比如没有 DBA 权限而只有 Create Session 权限的情况下,可能绕过正常的授权,而获取 DBA 权限。
就是可以绕过正常的用户身份或者权限认证,所以是漏洞。
比如:仅有查询权限的用户可以对数据进行增、删、改操作,非常危险。
比如:当一个用户只有 EXECUTE_CATALOG_ROLE 权限时,因为 sql 注入,该用户就可以获得 DBA 权限。
CVE# Component Package and/or Privilege Required
CVE-2018-2939 Core RDBMS Local Logon
CVE-2018-2841 Java VM Create Session, Create Procedure
CVE-2018-3004 Java VM Create Session, Create Procedure
CVE-2018-3004 和 CVE-2018-2841,一个用户只有 Create Session, Create Procedure 权限下,就可能绕过正常的权限操作从而获得更高的权限。
也就是说,一个用户密码被人盗了或别人使用这个账号,别人可以利用这个漏洞提高这个用户的权限,进而干坏事。
感谢各位的阅读,以上就是“怎么理解 CVE 安全漏洞”的内容了,经过本文的学习后,相信大家对怎么理解 CVE 安全漏洞这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是丸趣 TV,丸趣 TV 小编将为大家推送更多相关知识点的文章,欢迎关注!
![Frank#smith[Kfyzeiuqujbpygze,2,5]](https://cravatar.cn/avatar/ebd2642d86a4b40100d29dc76ec89b0d?s=96&d=monsterid&r=r)
