客户的一套x86系统上运行的11.2.3版本数据库,扫描出Oracle远程监听投毒漏洞,根据Oracle Security Alert for CVE-2012-1675安全警示里提到的受影响的版本为11g,10g。
12c以上版本该漏洞已修复,不要需要人工干预处理。
参考CVE-2012-1675安全警示里提到My Oracle Support Note 1340831.1文档,需要对scan_listener和listener做相关配置。
1. Create an Oracle wallet.
su - grid
cd /oracle/app/11.2.0/grid/network/
chmod 775 admin
#使用oracle用户创建wallet,需要调整$GI_HOME/network/admin目录权限
su - oracle
cd /oracle/app/11.2.0/grid/network/admin/
mkdir cost
orapki wallet create -wallet /oracle/app/11.2.0/grid/network/admin/cost
Oracle PKI Tool : Version 11.2.0.2.0 - Production
Copyright (c) 2004, 2010, Oracle and/or its affiliates. All rights reserved.
orapki wallet remove -trusted_cert_all -wallet /oracle/app/11.2.0/grid/network/admin/cost
Oracle PKI Tool : Version 11.2.0.2.0 - Production
Copyright (c) 2004, 2010, Oracle and/or its affiliates. All rights reserved.
orapki wallet add -wallet /oracle/app/11.2.0/grid/network/admin/cost -self_signed -dn "cn=secure_register" -keysize 1024 -validity 3650
Oracle PKI Tool : Version 11.2.0.2.0 - Production
Copyright (c) 2004, 2010, Oracle and/or its affiliates. All rights reserved.
orapki wallet display -wallet /oracle/app/11.2.0/grid/network/admin/cost -summary
Oracle PKI Tool : Version 11.2.0.2.0 - Production
Copyright (c) 2004, 2010, Oracle and/or its affiliates. All rights reserved.
Requested Certificates:
User Certificates:
Subject: CN=secure_register
Trusted Certificates:
Subject: CN=secure_register
orapki wallet create -wallet /oracle/app/11.2.0/grid/network/admin/cost -auto_login
Oracle PKI Tool : Version 11.2.0.2.0 - Production
Copyright (c) 2004, 2010, Oracle and/or its affiliates. All rights reserved.
chmod 640 cwallet.sso
ls -al
-rw-r----- 1 oracle oinstall 2493 Jul 11 15:18 cwallet.sso
-rw------- 1 oracle oinstall 2416 Jul 11 15:18 ewallet.p12
cp listener.ora listener.ora.bak
vi listener.ora
WALLET_LOCATION =
(SOURCE =
(METHOD = FILE)
(METHOD_DATA =
(DIRECTORY = /oracle/app/11.2.0/grid/network/admin/cost)
)
)
#SECURE_REGISTER_LISTENER_SCAN1 = (IPC,TCPS)
srvctl config scan_listener
SCAN Listener LISTENER_SCAN1 exists. Port: TCP:1521
srvctl modify scan_listener -p TCP:1521/TCPS:1523
srvctl stop scan_listener
srvctl start scan_listener
srvctl config scan_listener
SCAN Listener LISTENER_SCAN1 exists. Port: TCP:1521/TCPS:1523
cat /u01/app/oracle/product/11.2.0/dbhome_2/network/admin/sqlnet.ora
WALLET_LOCATION =
(SOURCE =
(METHOD = FILE)
(METHOD_DATA =
(DIRECTORY = /oracle/app/11.2.0/grid/network/admin/cost)
)
)
SQL> show parameter remote_listener
NAME TYPE VALUE
--------------- ----------- ------------------------------
remote_listener string 192.168.XX.11:1521
srvctl config scan
SCAN name: integb-cluser-scan, Network: 1/192.168.0.0/255.255.255.0/bond0
SCAN VIP name: scan1, IP: /testdb-cluser-scan/192.168.XX.11
alter system set remote_listener=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=192.168.XX.11
)(PORT=1523))) scope=both sid=*;
SECURE_REGISTER_LISTENER_SCAN1 = (IPC,TCPS)
srvctl stop scan_listener
srvctl start scan_listener
SECURE_REGISTER_LISTENER = (IPC,TCP)
srvctl stop listener
srvctl start listener
1. remote_listener参数回退.
alter system set remote_listener=192.168.XX.11:1521 scope=both sid=*;
show paraemter remote_listener
srvctl modify scan_listener -p TCP:1521
6. 重启scan_listenr,listenr,数据库实例.
Oracle远程监听投毒漏洞主要影响11g版本,11.2.0.4以下版本可以参考My Oracle Support Note 1340831.1文档,筛选涉及到的版本进行配置修复。11.0.2.4版本修复比较简单,具体参考My Oracle Support Note 1600630.1。
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/129324.html
摘要:正式发布在保留之前系列的工具之外,又新增了许多非常棒的新功能。语法高亮受够了中的编码体验那就来试试。改进了编码的语法高亮功能,大大提升了代码的可读性。支持支持,因此所有的功能,比如语法高亮代码折叠,甚至处理,都是支持的。默认将作为标准。 MyEclipse 2016 Stable 1.0正式发布!在保留之前CI系列的工具之外,又新增了许多非常棒的新功能。正式版下载地址 Eclipse ...
摘要:正式发布在保留之前系列的工具之外,又新增了许多非常棒的新功能。语法高亮受够了中的编码体验那就来试试。改进了编码的语法高亮功能,大大提升了代码的可读性。支持支持,因此所有的功能,比如语法高亮代码折叠,甚至处理,都是支持的。默认将作为标准。 MyEclipse 2016 Stable 1.0正式发布!在保留之前CI系列的工具之外,又新增了许多非常棒的新功能。正式版下载地址 Eclipse ...
摘要:正式发布在保留之前系列的工具之外,又新增了许多非常棒的新功能。语法高亮受够了中的编码体验那就来试试。改进了编码的语法高亮功能,大大提升了代码的可读性。支持支持,因此所有的功能,比如语法高亮代码折叠,甚至处理,都是支持的。默认将作为标准。 MyEclipse 2016 Stable 1.0正式发布!在保留之前CI系列的工具之外,又新增了许多非常棒的新功能。正式版下载地址 Eclipse ...
摘要:,大家好,很荣幸有这个机会可以通过写博文的方式,把这些年在后端开发过程中总结沉淀下来的经验和设计思路分享出来模块化设计根据业务场景,将业务抽离成独立模块,对外通过接口提供服务,减少系统复杂度和耦合度,实现可复用,易维护,易拓展项目中实践例子 Hi,大家好,很荣幸有这个机会可以通过写博文的方式,把这些年在后端开发过程中总结沉淀下来的经验和设计思路分享出来 模块化设计 根据业务场景,将业务...
阅读 1347·2023-01-11 13:20
阅读 1685·2023-01-11 13:20
阅读 1133·2023-01-11 13:20
阅读 1860·2023-01-11 13:20
阅读 4101·2023-01-11 13:20
阅读 2705·2023-01-11 13:20
阅读 1386·2023-01-11 13:20
阅读 3598·2023-01-11 13:20