跳至主內容

Oracle Database 遠端預先認證 TNS 下毒漏洞

最後更新 2012年04月30日 12:18 發佈日期: 2012年04月30日 2880 觀看次數

風險: 高度風險

類型: 伺服器 - 數據庫伺服器

類型: 數據庫伺服器

在 Oracle Database 發現漏洞,惡意的人可利用漏洞,透過從網絡接入到 TNS Listener 插入指令或劫持從客戶端向數據庫服務器的連接。

 

注意: 此漏洞暫時未有修補程式及驗證概念的攻擊程式碼。
 


影響

  • 遠端執行程式碼

受影響之系統或技術

  • Oracle Database 版本 8i 至 11g R2

解決方案

  • 注意: 此漏洞暫時未有修補程式。
  • 臨時解決方案
    • 在listener.ora配置文件中,設定以下參數
      dynamic_registration = off
    • 在 Oracle RAC 環境,更改 protocol.ora 檔案或,在舊版本, sqlnet.ora,於服務器端加上以下的指令:
      TCP.VALIDNODE_CHECKING = YES
      TCP.INVITED_NODE = (Comma,separated,list,of,ALL,valid,clients, ...)
    • 啟用和配置 Oracle Advanced Security 功能客戶端使用SSL / TLS。因此,在客戶端和服務器端,必須在protocol.ora或SQLNET.ORA改變以下參數
      Client side: SQLNET.ENCRYPTION_CLIENT=REQUIRED
      Server side: SQLNET.ENCRYPTION_SERVER=REQUIRED

漏洞識別碼

  • 暫無 CVE 可提供

資料來源


相關連結