在2012年10月,Oracle公司发布一个安全漏洞补丁包,修复的漏洞影响到数据库帐号密码的安全,其名称为CVE-2012-3137。它的具体信息是Oracle 10g和11g数据库中使用SHA-1加密算法帐号口令在知道SID和数据库服务器IP的情况下可以被破解,这使得它成了一个重大安全隐患,因此迫切需要修复。
在oracle 11g中,帐号口令默认采用SHA-1加密算法。如果采用DES加密算法,则不受影响。而10g的帐号口令的默认算法就是DES。
这个漏洞虽然很严重,但只影响到使用SHA-1加密算法的Oracle数据库,所以只需修复受到影响的系统。如果数据库端安装了此补丁包,那么所有的数据库客户端和JDBC客户端(包括WebLogic Server, Fusion Middleware, Enterprise Manager等等)都需要同时安装此补丁包,否则连不上。
受影响的数据库版本有11.2.0.3,11.2.0.2,11.1.0.7,有使用了SHA-1加密算法的10.2.0.5和10.2.0.4,还有使用了SHA-1的10.2.0.3(运行在z/OS下)版本。
如果你的版本收到了影响,可以选择安装补丁,也可以选择不使用SHA-1加密算法来避开这个漏洞。
虽然这个漏洞在11.2.0.3中已经解决,但是仅仅数据库客户端和服务器都升级到11.2.0.3并且sqlnet.ora文件中增加SQLNET.ALLOWED_LOGON_VERSION=12才有效。
在Oracle服务器上安装10月发布的补丁包可以修复这个漏洞,因此此补丁包被高度推荐。
附:
Patching Implications for CVE-2012-3137 and CVE-2012-3151
Patches have been released as part of the October 2012 CPU program to
include fixes to protect against vulnerability CVE-2012-3137 and
CVE-2012-3151.
CVE-2012-3137
This vulnerability affects database user accounts using SHA-1-based
password verifiers for authentication. SHA-1-based password verifiers
are also referred to as “11G” password versions. Database user accounts
using a DES-based password verifier for authentication are unaffected.
DES-based password verifiers are also referred to as “10G” password
versions.
For most deployments, patching is only necessary for affected
database servers for systems to be protected and to continue to
function.
For a limited number of deployments, all Database clients and JDBC
clients (including WebLogic Server, Fusion Middleware, Enterprise
Manager, etc.) must be patched along with the Database Server; otherwise
the un-patched clients will fail to connect to a patched server.
Before installing patches that address CVE-2012-3137, customers must
review carefully My Oracle Support Note 1493990.1
, Patching for CVE-2012-3137
.
CVE-2012-3151
CVE-2012-3151 vulnerability affects Database servers and client-only
installations for versions 11.2.0.3, 11.2.0.2, 11.1.0.7, 10.2.0.5 and
10.2.0.4. It does not affect Instant Client installations for any
version.
Customers are recommended to apply the applicable patches to their systems to address vulnerability CVE-2012-3151.
分享到:
相关推荐
4. **定期更新和打补丁**:及时安装最新的安全补丁和更新,以修复已知的安全漏洞。 #### 二、用户安全策略 除了确保数据库服务器本身的物理安全之外,还需要加强对用户的访问控制,以防止非法访问和数据泄露。 1....
但是,在实际应用过程中,ORACLE数据库所采取的基本措施在保证数据库安全性方面还存在一些漏洞,给数据库的安全性带来了很大的威胁。为保证数据库的安全性,在依赖成熟的商用大型数据库系统提供的安全技术的同时,还...
Oracle数据库安全加固方案是为了降低Oracle数据库面临的风险,及时堵塞漏洞,提高平安防护能力的操作指南。本方案涵盖了多个方面的安全加固措施,包括审计操作、日志策略、归档模式、漏洞加固、系统安全补丁、口令...
4. **其他安全措施**:除了上述口令策略,还应考虑其他安全措施,如限制对敏感对象的访问,启用审计功能跟踪数据库活动,定期更新数据库补丁以修复安全漏洞,以及使用网络加密技术如SSL/TLS来保护数据传输。...
- 过度授权可能导致安全漏洞,因此在实际操作中需要严格控制权限分配。 以上内容从多个角度详细阐述了Oracle数据库管理、优化与备份恢复方面的知识点,为读者提供了全面深入的理解和实际操作指导。
7. 安全隐患分析:除了上述问题,还可能存在系统漏洞、未更新的安全补丁、弱口令策略等安全隐患,需要定期进行安全审计和更新维护,以降低风险。 8. 专业指导与参考文献:在实际操作中,遵循专业的Oracle数据库安全...
Oracle数据库是全球广泛使用的关系型数据库系统之一,其安全性对于保护关键业务数据至关重要。随着计算机网络的快速发展,数据共享的增强,数据安全成为了企业和组织关注的焦点。Oracle数据库提供了多种安全特性来...
在Oracle数据库中,通过创建不同的用户组和设置口令验证,可以有效地防止非法用户访问数据库系统。用户权限的设定是关键,例如,一些用户可能被授予完全访问权限,能够读写整个数据库,而大多数用户则只能在其所属的...
定期更新和打补丁能修复已知的安全漏洞。同时,持续监控数据库活动,及时发现异常行为,是预防和应对安全事件的关键。 最后,审计策略用于记录和分析数据库的使用情况,以便追踪和调查潜在的安全问题。Oracle提供了...
通过分析审计日志,管理员可以识别潜在的安全漏洞,优化权限设置,及时发现并防止数据泄露。 总结,Oracle数据库的安全审计机制是保障数据安全的关键工具。通过深入了解和正确配置审计机制,数据库管理员可以提升...
尽管Oracle数据库采取了上述管理措施,但在实际应用中,仍存在一些安全漏洞,对数据库的安全构成了威胁。为了更好地管理和保障数据库安全,除了基本的安全措施外,还需要采取更全面、更严格的管理策略。例如: 1. ...
- **定期更新和打补丁**:及时安装最新的安全更新和补丁程序,以修复已知的安全漏洞。 - **审计日志**:启用审计功能记录关键操作的日志,以便于监控和追踪可能的安全事件。 - **网络隔离**:对数据库服务器实施严格...
这些给定的文件名表明它们包含了一系列针对不同服务和应用的弱口令字典,包括FTP、Oracle数据库、Tomcat应用服务器、Domino服务器以及Web目录扫描。下面将详细解释这些服务与弱口令关联的知识点。 1. **FTP(File ...
本文将针对Oracle 9i/10g/11g中常见的安全管理问题进行深入探讨,包括数据库服务器面临的威胁、DBA口令管理、安全漏洞等方面,并提供相应的检查方法。 #### 二、数据库服务器威胁 1. **未授权访问**:这是最常见的...
《数据库攻防之道Oracle》是一本专注于Oracle数据库安全的专著,旨在帮助读者掌握如何对Oracle数据库进行有效的安全评估和防护。在当前信息化社会中,数据安全至关重要,Oracle作为广泛应用的关系型数据库管理系统,...
Oracle数据库系统加固规范旨在确保数据库系统的安全性和稳定性,防止未经授权的访问和潜在的安全威胁。以下是一些关键的知识点: 1. **独立账号管理**: - 每个管理员应有独立的账号,以避免账号混淆和权限滥用。...
Oracle数据库是全球广泛使用的大型关系型数据库系统之一,其安全性对于保障整个信息系统至关重要。本文主要探讨了Oracle数据库的安全机制,包括访问控制、数据私密性和数据审计三个方面。 1. 访问控制机制 Oracle...
数据库漏洞扫描系统是一种专门用于检测和防范数据库安全漏洞的工具,它能够在第一时间发现并报告潜在的风险和漏洞,从而确保数据库的安全性和稳定性。对于数据库管理员来说,这款系统是一个必不可少的助手。 明鉴...
OracleShell允许用户通过命令行接口与Oracle数据库进行交互,执行SQL查询、操作数据以及利用可能存在的安全漏洞来提升权限。这在合法的安全审计中是非常有用的,因为它可以帮助发现并修复潜在的安全问题。然而,在...