Oracle listener程序所存在安全漏洞有哪些?
下面的文章主要介紹的是Oracle listener程序存在的安全漏洞,如果你對(duì)Oracle listener程序存在的安全漏洞,心存好奇的話,此文章將會(huì)為你揭開(kāi)其神秘面紗,以下就是文章的詳細(xì)內(nèi)容介紹,望大家借鑒。
受影響系統(tǒng):
Oracle listener releases 7.3.4, 8.0.6, 8.1.6 (所有平臺(tái)版本)
描述:
Oracle Enterprise Server中所帶的listener程序存在一個(gè)安全漏洞,攻擊者可能遠(yuǎn)程獲取對(duì)Oracle賬號(hào)以及數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限,并可能執(zhí)行任意代碼。Oracle listener程序從遠(yuǎn)程listener控制端接收遠(yuǎn)程命令。如果配置正確的話,當(dāng)執(zhí)行l(wèi)istener命令時(shí)會(huì)首先要求提供一個(gè)口令。缺省安裝狀態(tài)下,并沒(méi)有為listener指定口令限制。如果沒(méi)有設(shè)置口令,Oracle listener可以被設(shè)置成將日志信息添加到一個(gè)文件中。攻擊者可以通過(guò)SET TRC_FILE和SET LOG_FILE命令來(lái)改變文件名,這將允許攻擊者創(chuàng)建一個(gè)新文件或者覆蓋一個(gè)現(xiàn)有的文件。
listener程序要記錄的信息也可以由攻擊者發(fā)送一個(gè)特殊格式的連接報(bào)文來(lái)指定。被記錄的信息可以被改成包含命令和轉(zhuǎn)義字符,這將允許攻擊執(zhí)行任意命令。
<*來(lái)源:IIS X-Force: http://xforce.iss.net/ *>
建議:
NSFOCUS建議您在安裝補(bǔ)丁之前,為listener程序設(shè)置一個(gè)強(qiáng)度足夠的口令。
廠商補(bǔ)丁:
Oracle推薦用戶從Oracle的全球服務(wù)支持網(wǎng)站下載此問(wèn)題的補(bǔ)丁程序:
http://metalink.oracle.com
用戶可以使用漏洞序號(hào)1361722來(lái)查找相應(yīng)補(bǔ)丁。
用戶也可以在下列地址找到相應(yīng)的安全警告信息:
http://otn.oracle.com/deploy/security/alerts.htm
以上的相關(guān)內(nèi)容就是對(duì)Oracle listener程序所存在安全漏洞有哪些的介紹,望你能有所收獲。
上述的相關(guān)內(nèi)容就是對(duì)Oracle listener程序所存在安全漏洞的描述,希望會(huì)給你帶來(lái)一些幫助在此方面。
【編輯推薦】
