周五绿盟扫描电信系统,报告了一个安全漏洞,研究了下

Normal

0

7.8 磅

0

2

false

false

false

EN-US

ZH-CN

X-NONE

oracle安全警告

在安全警告CVE-2012-1675中进行了描述:

http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html

这个漏洞的发现者和描述

该漏洞主要影响监听器。

最主要的危害为,攻击者可以自行创建一个和当前生产数据库同名的数据库,将其向生产数据库的监听注册。

这样将导致用户连接被路由指向攻击者创建的实例,造成业务响应中断

应用程序报告ORA-12545: Connect failed because target host or object does not

exist

受到影响的版本

虽然安全警告描述的是10203开始,但是实际是从8i开始的任何版本

如何查找攻击者

如果遭遇到攻击,查看攻击者机器不太方便。

当时测试出可行的方法为关闭数据库实例和所有的连接,检查仍然连接到1521端口的机器

监听日志中没有注册者的IP和主机名信息

TRC监听无法找到注册监听者的IP和主机名

如何避免受该安全漏洞影响?

1.设置监听器不接受动态注册,所有实例静态注册(单实例以及不做load_balance的RAC)

2.设置只允许特定的IP访问监听器

3.设置Class of Secure Transport,用来只允许本机实例或特定机器的实例注册到监听器。

该特性是10203引入,但存在Bug 12880299 - TCP handlers block if listener registration is

restricted to IPC with COST [ID 12880299.8]

如果不安装补丁,只允许限制IPC协议的动态监听注册,无法限制默认的TCP协议动态监听注册

如果监听与数据库间使用TCP协议,需要安装Patch12880299,各版本最新的PSU中都有包含(10203不包含)

11.2.0.3.3 Patch Set Update

11.2.0.2.7 Patch Set Update

11.1.0.7.12 Patch Set Update

10.2.0.5.8 Patch Set Update

10.2.0.4.13 Patch Set Update

单实例,不准备启用服务端负载均衡的RAC,参考

Using Class of Secure

Transport (COST) to Restrict Instance Registration [ID 1453883.1]

需要服务端负载均衡的RAC,参考

Using Class of Secure

Transport (COST) to Restrict Instance Registration in Oracle RAC [ID 1340831.1]

Logo

魔乐社区(Modelers.cn) 是一个中立、公益的人工智能社区,提供人工智能工具、模型、数据的托管、展示与应用协同服务,为人工智能开发及爱好者搭建开放的学习交流平台。社区通过理事会方式运作,由全产业链共同建设、共同运营、共同享有,推动国产AI生态繁荣发展。

更多推荐