关于CVE-2012-1675

周五绿盟扫描电信系统,报告了一个安全漏洞,研究了下

Normal 0 7.8 磅 0 2 false false false EN-US ZH-CN X-NONE

oracle安全警告

在安全警告CVE-2012-1675中进行了描述:

http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html

 

这个漏洞的发现者和描述

http://seclists.org/fulldisclosure/2012/Apr/204

该漏洞主要影响监听器。

最主要的危害为,攻击者可以自行创建一个和当前生产数据库同名的数据库,将其向生产数据库的监听注册。

这样将导致用户连接被路由指向攻击者创建的实例,造成业务响应中断

应用程序报告 ORA-12545: Connect failed because target host or object does not exist

 

受到影响的版本

虽然安全警告描述的是10203开始,但是实际是从8i开始的任何版本

 

如何查找攻击者

如果遭遇到攻击,查看攻击者机器不太方便。

当时测试出可行的方法为关闭数据库实例和所有的连接,检查仍然连接到1521端口的机器

监听日志中没有注册者的IP和主机名信息

TRC监听无法找到注册监听者的IP和主机名

 

如何避免受该安全漏洞影响?

1.   设置监听器不接受动态注册,所有实例静态注册(单实例以及不做load_balanceRAC

 

2.   设置只允许特定的IP访问监听器

 

3.   设置Class of Secure Transport,用来只允许本机实例或特定机器的实例注册到监听器。

 

该特性是10203引入,但存在Bug 12880299 - TCP handlers block if listener registration is restricted to IPC with COST [ID 12880299.8]

 

如果不安装补丁,只允许限制IPC协议的动态监听注册,无法限制默认的TCP协议动态监听注册

 

如果监听与数据库间使用TCP协议,需要安装Patch12880299,各版本最新的PSU中都有包含(10203不包含)

11.2.0.3.3 Patch Set Update

11.2.0.2.7 Patch Set Update

11.1.0.7.12 Patch Set Update

10.2.0.5.8 Patch Set Update

10.2.0.4.13 Patch Set Update 

 

单实例,不准备启用服务端负载均衡的RAC,参考

Using Class of Secure Transport (COST) to Restrict Instance Registration [ID 1453883.1]

https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1453883.1

 

需要服务端负载均衡的RAC,参考

Using Class of Secure Transport (COST) to Restrict Instance Registration in Oracle RAC [ID 1340831.1]

https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1340831.1


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/8242091/viewspace-747805/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/8242091/viewspace-747805/

你可能感兴趣的