安全研究

威胁情报
Oracle数据库版本更新升级说明

综述

近日,Oracle在其官方支持站点(MOS)上发布了2篇声明,告知用户需在20194月前对Oracle数据库进行更新,并强调了所有11.2.0.3及以前版本的DB Links必须进行升级更新。

2篇声明并不是针对安全性问题,而是数据库版本的一次更新。下面是通告的简要解读和说明。有问题的用户,建议直接联系Oracle厂商咨询。


解读

根据Oracle官方发布的声明,

“What we are announcing:

All supported releases of Oracle Databases need to be patched to a minimum patchset/PSU level before April 2019 to ensure proper functioning of database links.”

该更新是由于Oracle数据库在之前推出新版本时,内部的工作原理发生了变化,因此为了保证数据库链的正常工作,所有受支持的Oracle数据库需要在20194月之前更新到最低的补丁集/PSU。

“What is the change introduced by the patches listed above?

The patches listed above make the older databases capable of supporting increased SCN soft limit (i.e. support transactions with higher SCN rate) though the increased SCN soft limit only becomes effective at a later time (after April 2019).”

可以看到,这个变化来源于Oracle数据库的一个核心机制SCN。为了保证数据库可以允许更高的SCN增长率,Oracle使用了新的SCN soft limit机制,并将SCN的限制从16K提高到32K,新版本的补丁也正是为了能够支持这个新特性。该特性将在20194月生效,因此官方建议11.2.0.4版本之前的用户按照要求进行更新升级。

在新版本中,Oracle引入了一个关于SCN的新特性:SCN兼容性特性。Oracle为每种SCN的兼容性设置了特定的期限,低级别的兼容性将在特定时间自动过期并自动更改为允许更高SCN增长率的级别(兼容性级别3)。届时,若用户的数据库没有升级,则在访问兼容性级别3的数据库时,有可能由于SCN的限制,造成访问被拒绝。Oracle将这个时间定到了2019623日,而要求用户在20194月前更新是为了给用户留出一定的缓冲时间。


总结

Oracle的声明中,可以了解到以下几个要点:

1.该更新并不是一个漏洞修复,而是计划中的版本升级,不存在安全问题。

2.该更新源于Oracle数据库核心机制SCN的变更,由于低版本中不断增长的SCN最终会耗。?虼宋?吮V|span>SCN稳定的增长率,新版本中将SCN的限制从16K提高到了32K。

3.未打补丁的低版本之间的互相访问,不会出现问题;未打补丁的低版本和打了补丁的高版本之间互相访问,可能会出现问题。

4.虽然Oracle官方提供了禁用SCN soft limit特性的方法,但是鉴于11.2.0.4之前的版本不在Oracle支持的版本中,强烈建议用户按照官方的要求进行更新升级。

由于对外没有细节信息公布,强烈建议有问题的客户直接咨询Oracle厂商。

参考链接:https://support.oracle.com


声 明

本安全公告仅用来描述可能存在的安全问题,科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,科技以及安全公告作者不为此承担任何责任。科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

 


浏览次数:

关 闭