【威胁通告】Oracle数据库版本更新升级声明

近日,Oracle在其官方支持站点(MOS)上发布了2篇声明,告知用户需在2019年4月前对Oracle数据库进行更新,并强调了所有11.2.0.3及以前版本的DB Links必须进行升级更新。

综述

近日,Oracle在其官方支持站点(MOS)上发布了2篇声明,告知用户需在2019年4月前对Oracle数据库进行更新,并强调了所有11.2.0.3及以前版本的DB Links必须进行升级更新。

这2篇声明并不是针对安全性问题,而是数据库版本的一次更新。下面是通告的简要解读和说明。有问题的用户,建议直接联系Oracle厂商咨询。

解读

根据Oracle官方发布的声明,

“What we are announcing

All supported releases of Oracle Databases need to be patched to a minimum patchset/PSU level before April 2019 to ensure proper functioning of database links.”

该更新是由于Oracle数据库在之前推出新版本时,内部的工作原理发生了变化,因此为了保证数据库链的正常工作,所有受支持的Oracle数据库需要在2019年4月之前更新到最低的补丁集/PSU。

“What is the change introduced by the patches listed above?

The patches listed above make the older databases capable of supporting increased SCN soft limit (i.e. support transactions with higher SCN rate) though the increased SCN soft limit only becomes effective at a later time (after April 2019).”

可以看到,这个变化来源于Oracle数据库的一个核心机制SCN。为了保证数据库可以允许更高的SCN增长率,Oracle使用了新的SCN soft limit机制,并将SCN的限制从16K提高到32K,新版本的补丁也正是为了能够支持这个新特性。该特性将在2019年4月生效,因此官方建议11.2.0.4版本之前的用户按照要求进行更新升级。

在新版本中,Oracle引入了一个关于SCN的新特性:SCN兼容性特性。Oracle为每种SCN的兼容性设置了特定的期限,低级别的兼容性将在特定时间自动过期并自动更改为允许更高SCN增长率的级别(兼容性级别3)。届时,若用户的数据库没有升级,则在访问兼容性级别3的数据库时,有可能由于SCN的限制,造成访问被拒绝。Oracle将这个时间定到了2019年6月23日,而要求用户在2019年4月前更新是为了给用户留出一定的缓冲时间。

总结

从Oracle的声明中,可以了解到以下几个要点:

  1. 该更新并不是一个漏洞修复,而是计划中的版本升级,不存在安全问题。
  2. 该更新源于Oracle数据库核心机制SCN的变更,由于低版本中不断增长的SCN最终会耗尽,因此为了保证SCN稳定的增长率,新版本中将SCN的限制从16K提高到了32K。
  3. 未打补丁的低版本之间的互相访问,不会出现问题;未打补丁的低版本和打了补丁的高版本之间互相访问,可能会出现问题。
  4. 虽然Oracle官方提供了禁用SCN soft limit特性的方法,但是鉴于2.0.4之前的版本不在Oracle支持的版本中,强烈建议用户按照官方的要求进行更新升级。

由于对外没有细节信息公布,强烈建议有问题的客户直接咨询Oracle厂商。

参考链接:https://support.oracle.com

 

 

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

 

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

发表评论