什么样的oracle漏洞不能升级

Posted 2023-03-20

什么样的oracle漏洞不能升级
Oracle 公司 于 2021 年 1 月 19 日，发布了第一个年度安全预警。其中，有 8 个安全警告和 Oracle 数据库部分有关。目前，可以通过最新的 CPU 补丁，可以修复这个安全漏洞。

以下是这 8 个安全漏洞：

CVE-2021-2018
该漏洞无需身份验证即可远程利用，入侵者可以通过网络利用这些漏洞并且不需要用户凭据。给出的安全系数风险评分是 8.3 分。不过，此攻击复杂度较高，也只影响 Windows 平台

CVE-2021-2035
被通过数据库的Scheduler 定时组件进行攻击，需要 Export Full Database 权限，如果对这个权限有管控权，则可以降低风险。风险评分高达 8.8 分。修复的方法是：梳理数据库的权限，或者应用补丁修复。

CVE-2021-2054
该漏洞和 Sharding 组件有关，大部分个人用户可能用不到，同时，不用分布式组件的用户也可以忽略

CVE-2021-2116 和 CVE-2021-2116
该漏洞和 Oracle Apex 有关，可以通过 HTTP 协议进行攻击。防范方式：做好账户管理，则风险不大

CVE-2021-1993
该漏洞和 Java JVM 有关，也是之前一系列反序列化的漏洞延续，可以通过 Package 的权限限制防范，或者补丁修复

CVE-2021-2045
该漏洞和 Text 组件相关，大部分用户应该没有这个选项。同时建议，数据库安装时，对于用不到的组件，不要选择安装。

CVE-2021-2000
该漏洞是 Unified Audit 统一审计管理特性相关的漏洞，对于权限要求极高，所以风险最低，安全分是 2.4 分。

具体风险列表如下： 参考技术A oracle补丁种类和升级方法，oracle有很多种补丁类型，我们应该对oracle的补丁类型有一定了解，特别是一些关键的补丁，可能客户会定期对数据库升级，无论修复bug，还是为了安全。release这个是数据库的基本版本， 标准产品发布。如OracleDatabase 10g Release 2的第一个发行版本为10.2.0.1,可以在OTN、edelivery等站点上公开下载现在在网上只能下载oracle 11g和oracle 12c。就是早期大家常说的PSR。这是在主版本号上发布的补丁集，修复了较多的Bug，可能会包含一些增强功能（Enhancement）。比如11.2.0.1是一个主版本，那么11.2.0.2、11.2.0.3就是2个不同的Patchset。这种补丁集经过了严格的集成测试，也是累积型的。所以推荐安装最新的Patch Set

这种补丁在oracle11.2之前都是覆盖方式升级，就是直接补丁覆盖原来软件，这样停机时间会长。如果需要升级到oracle10.2.0.5,那么只能先安装oracle 10.2.0.1,然后升级到oracle 10.2.0.5.；到oracle11.2之后 oracle使用Out-of-Place，就是补丁可以直接安装了，并且如果想升级到oracle 11.2.0.4的时候不需要先安装oracle11.2.0.1,然后升级到oracle 11.2.0.4,可以直接安装oracle 11.2.0.4。可以将Oracle Database安装的新的OracleHome目录，当安装结束后，旧的database会迁移到新的Oracle HOME目录。 这种方法是oracle推荐的方式，它可以降低停机时间，也相对更安全。但是这种方法需要至少两倍的磁盘空间。Oracle选取在每个季度用户下载数量最多，并且得到验证具有较低风险的补丁放入到每个季度的PSU中，修复比较严重的一些问题，包含每个季度的CPU，是累积型的。虽然在描述PSU的时候会用到数据库版本第5位，比如DatabasePSU 11.2.0.3.5，但实际上打完PSU后并不会真正改变数据库的版本，从v$version中看到的版本还是4位的(11.2.0.3.0)，第5位仍然是0。

这种补丁客户会经常进行操作的，也是我们需要必会的。

4. Critical Patch Update

这个指的就是CPU补丁。每季度发布一次，用来修复安全方面的一些补丁，是累积型的。目前(2012年10月）已经更名为Security Patch Update (SPU)
¤ 这类问题本来不属于软件错误,在正常使用中不会出现任何问题。但是别有用心的人可以通过运行非常精巧设计的代码 ，绕过数据库系统的安全管理机制,达到非授权存取的目的

这种补丁是偏向安全的，就是修复oracle漏洞。

5. Interim Patch/One-Off Patch

是我们常说的小补丁，为了修复某(几)个Bug而发布的补丁。这种补丁推荐在测试库上测试无误后再安装在生产库上，这种补丁是oracle最小单元。

6. Bundle Patch(BP)

补丁集，修复多个Bug。在Windows平台上的Oracle没有小补丁，只有这种BundlePatch。 这种累积型的补丁集会周期性的发布（至少每季一次）,也就是每个Bundle Patch会包含之前所有的BundlePatch。比如Windows Bundle Patch 16，它会包含之前所有15个BundlePatch，所以我们总是推荐安装最新的Bundle Patch。Oracle的集群软件和数据库软件的WindowBundle Patch是同一个，比如Windows Bundle Patch 16(补丁号16167942，既可以打在集群上，也可以打在数据库上)

补丁打得方法和注意事项：

以上的补丁除了psr直接使用runInstaller，其他的补丁类型都是使用opatch命令，在oracle 10g之前，我们需要单独下载此命令，到oracle 10g之后这个命令在 ORACLE_HOME/Opatch下，因此，最好在环境变量path中添加以下

打补丁需要inventory是没有问题的，需要通过opatch lsinventory来验证。

由于rac环境除了psr，其他补丁类型可以每台服务器单独打，因此在打补丁的时候加上-local。 参考技术B 对于Oracle数据库，当发现有未修复的安全漏洞时，可以通过升级此漏洞来修复。但是有一些特殊情况，例如，当数据库应用程序受到严重破坏时，需要对数据库进行重新安装，而不能通过升级修复该漏洞。因此，受到严重破坏的oracle数据库漏洞将不能通过升级修复。 参考技术C 亲你好， OPatch升级 首先对oracle中自带的optach进行备份,防止升级optach失败,退回原版本。升级直接删除/home/oracle/app/oracle/product/11.2.0/dbhome_1目录下的opatch
2. 补丁安装 (1)解压补丁包 (2)将数据库和监听器关闭 (3)进入补丁安装目录,然后时候$ORACLE_HOME/OPatch/opatch apply进行升级(注意,配racle
3. 出现的一些问题 启动数据库的时候报错 ORACLE_HOME_LISTNER