关于CVE-2012-1675

周五绿盟扫描电信系统，报告了一个安全漏洞，研究了下

Normal 0 7.8 磅 0 2 false false false EN-US ZH-CN X-NONE

oracle安全警告

在安全警告CVE-2012-1675中进行了描述：

http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html

 

这个漏洞的发现者和描述

http://seclists.org/fulldisclosure/2012/Apr/204

该漏洞主要影响监听器。

最主要的危害为，攻击者可以自行创建一个和当前生产数据库同名的数据库，将其向生产数据库的监听注册。

这样将导致用户连接被路由指向攻击者创建的实例，造成业务响应中断

应用程序报告 ORA-12545: Connect failed because target host or object does not exist

 

受到影响的版本

虽然安全警告描述的是10203开始，但是实际是从8i开始的任何版本

 

如何查找攻击者

如果遭遇到攻击，查看攻击者机器不太方便。

当时测试出可行的方法为关闭数据库实例和所有的连接，检查仍然连接到1521端口的机器

监听日志中没有注册者的IP和主机名信息

TRC监听无法找到注册监听者的IP和主机名

 

如何避免受该安全漏洞影响？

1.   设置监听器不接受动态注册，所有实例静态注册（单实例以及不做load_balance的RAC）

 

2.   设置只允许特定的IP访问监听器

 

3.   设置Class of Secure Transport，用来只允许本机实例或特定机器的实例注册到监听器。

 

该特性是10203引入，但存在Bug 12880299 - TCP handlers block if listener registration is restricted to IPC with COST [ID 12880299.8]

 

如果不安装补丁，只允许限制IPC协议的动态监听注册，无法限制默认的TCP协议动态监听注册

 

如果监听与数据库间使用TCP协议，需要安装Patch12880299，各版本最新的PSU中都有包含（10203不包含）

11.2.0.3.3 Patch Set Update

11.2.0.2.7 Patch Set Update

11.1.0.7.12 Patch Set Update

10.2.0.5.8 Patch Set Update

10.2.0.4.13 Patch Set Update 

 

单实例，不准备启用服务端负载均衡的RAC，参考

Using Class of Secure Transport (COST) to Restrict Instance Registration [ID 1453883.1]

https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1453883.1

 

需要服务端负载均衡的RAC，参考

Using Class of Secure Transport (COST) to Restrict Instance Registration in Oracle RAC [ID 1340831.1]

https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1340831.1

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/8242091/viewspace-747805/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/8242091/viewspace-747805/