下面的文章主要介绍的是Oracle listener程序存在的安全漏洞,如果你对Oracle listener程序存在的安全漏洞,心存好奇的话,此文章将会为你揭开其神秘面纱,以下就是文章的详细内容介绍,望大家借鉴。
受影响系统:
Oracle listener releases 7.3.4, 8.0.6, 8.1.6 (所有平台版本)
描述:
Oracle Enterprise Server中所带的listener程序存在一个安全漏洞,攻击者可能远程获取对Oracle账号以及数据库的访问权限,并可能执行任意代码。Oracle listener程序从远程listener控制端接收远程命令。如果配置正确的话,当执行listener命令时会首先要求提供一个口令。缺省安装状态下,并没有为listener指定口令限制。如果没有设置口令,Oracle listener可以被设置成将日志信息添加到一个文件中。攻击者可以通过SET TRC_FILE和SET LOG_FILE命令来改变文件名,这将允许攻击者创建一个新文件或者覆盖一个现有的文件。
listener程序要记录的信息也可以由攻击者发送一个特殊格式的连接报文来指定。被记录的信息可以被改成包含命令和转义字符,这将允许攻击执行任意命令。
<*来源:IIS X-Force: http://xforce.iss.net/ *>
建议:
NSFOCUS建议您在安装补丁之前,为listener程序设置一个强度足够的口令。
厂商补丁:
Oracle推荐用户从Oracle的全球服务支持网站下载此问题的补丁程序:
http://metalink.oracle.com
用户可以使用漏洞序号1361722来查找相应补丁。
用户也可以在下列地址找到相应的安全警告信息:
http://otn.oracle.com/deploy/security/alerts.htm
以上的相关内容就是对Oracle listener程序所存在安全漏洞有哪些的介绍,望你能有所收获。
上述的相关内容就是对Oracle listener程序所存在安全漏洞的描述,希望会给你带来一些帮助在此方面。
【编辑推荐】