這篇文章主要講解了“怎么理解CVE安全漏洞”,文中的講解內(nèi)容簡單清晰,易于學習與理解,下面請大家跟著小編的思路慢慢深入,一起來研究和學習“怎么理解CVE安全漏洞”吧!
成都創(chuàng)新互聯(lián)公司是專業(yè)的開化網(wǎng)站建設(shè)公司,開化接單;提供成都網(wǎng)站設(shè)計、成都網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè),網(wǎng)頁設(shè)計,網(wǎng)站設(shè)計,建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進行開化網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團隊,希望更多企業(yè)前來合作!幾乎oracle的每個季度發(fā)布的數(shù)據(jù)庫補丁Oracle Database Server Risk Matrix一項中都有如下語句描述的安全補丁
This vulnerability is remotely exploitable without authentication, i.e., may be exploited over a network without requiring user credentials.
這個漏洞在沒有身份驗證的情況下是可以被遠程利用的,例如。,可以在不需要用戶憑證的情況下通過網(wǎng)絡(luò)進行利用
This vulnerability is remotely exploitable without authentication
這個漏洞在沒有身份驗證的情況下是可以被遠程利用的
這句話的意思,沒有身份驗證就是沒有某個權(quán)限比如沒有DBA權(quán)限而只有Create Session權(quán)限的情況下,可能繞過正常的授權(quán),而獲取DBA權(quán)限。
就是可以繞過正常的用戶身份或者權(quán)限認證,所以是漏洞。
比如:僅有查詢權(quán)限的用戶可以對數(shù)據(jù)進行增、刪、改操作,非常危險。
比如:當一個用戶只有EXECUTE_CATALOG_ROLE權(quán)限時,因為sql注入,該用戶就可以獲得DBA權(quán)限。
CVE# Component Package and/or Privilege Required
CVE-2018-2939 Core RDBMS Local Logon
CVE-2018-2841 Java VM Create Session, Create Procedure
CVE-2018-3004 Java VM Create Session, Create Procedure
CVE-2018-3004和CVE-2018-2841,一個用戶只有Create Session, Create Procedure權(quán)限下,就可能繞過正常的權(quán)限操作從而獲得更高的權(quán)限。
也就是說,一個用戶密碼被人盜了或別人使用這個賬號,別人可以利用這個漏洞提高這個用戶的權(quán)限,進而干壞事。
感謝各位的閱讀,以上就是“怎么理解CVE安全漏洞”的內(nèi)容了,經(jīng)過本文的學習后,相信大家對怎么理解CVE安全漏洞這一問題有了更深刻的體會,具體使用情況還需要大家實踐驗證。這里是創(chuàng)新互聯(lián),小編將為大家推送更多相關(guān)知識點的文章,歡迎關(guān)注!