Oracle Database 遠端預先認證 TNS 下毒漏洞
最後更新
2012年04月30日 12:18
發佈日期:
2012年04月30日
2880
觀看次數
風險: 高度風險
類型: 伺服器 - 數據庫伺服器
在 Oracle Database 發現漏洞,惡意的人可利用漏洞,透過從網絡接入到 TNS Listener 插入指令或劫持從客戶端向數據庫服務器的連接。
注意: 此漏洞暫時未有修補程式及驗證概念的攻擊程式碼。
影響
- 遠端執行程式碼
受影響之系統或技術
- Oracle Database 版本 8i 至 11g R2
解決方案
- 注意: 此漏洞暫時未有修補程式。
- 臨時解決方案
- 在listener.ora配置文件中,設定以下參數
dynamic_registration = off - 在 Oracle RAC 環境,更改 protocol.ora 檔案或,在舊版本, sqlnet.ora,於服務器端加上以下的指令:
TCP.VALIDNODE_CHECKING = YES
TCP.INVITED_NODE = (Comma,separated,list,of,ALL,valid,clients, ...) - 啟用和配置 Oracle Advanced Security 功能客戶端使用SSL / TLS。因此,在客戶端和服務器端,必須在protocol.ora或SQLNET.ORA改變以下參數
Client side: SQLNET.ENCRYPTION_CLIENT=REQUIRED
Server side: SQLNET.ENCRYPTION_SERVER=REQUIRED
- 在listener.ora配置文件中,設定以下參數
漏洞識別碼
- 暫無 CVE 可提供
資料來源
相關連結
分享至