Oracle Database Server 的 TNS (Transparent Network Substrate) Listener 是一个关键组件,它负责监听并管理数据库实例的网络连接请求。在 2012 年,Oracle 发现了一个名为 CVE-2012-1675 的远程数据投毒漏洞,该漏洞允许攻击者向数据库服务器注入恶意数据,可能导致系统安全性降低,甚至数据泄露。
-
确定解决方案
根据描述中的链接(http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html),Oracle 提供了针对不同部署类型的解决方案。对于不使用 Real Application Clusters (RAC) 的 Oracle Database 部署,建议参考 MyOracleSupport Note 1453883.1。在这个文档中,Oracle 推荐使用 Class of Secure Transport (COST) 来限制实例注册,以防止恶意数据注入。 -
应用解决方案
针对非 RAC 环境,有两个主要的解决方案:
a) 限制注册到 TCP 协议 (需要 BUG:12880299 的修复)
这个方法通过仅允许通过 TCP 协议进行实例注册来提高安全性,这样可以防止利用漏洞的尝试。这需要安装特定的补丁来实现。
b) 限制注册到 IPC 协议 (不需要 BUG:12880299 的补丁)
如果不需要 TCP 支持,可以通过限制注册到 IPC (Inter-Process Communication) 协议来避免这个漏洞。这种方法不需要安装特定的补丁,但可能会减少网络连接的灵活性。
这两种方法都可以通过修改 TNS Listener 配置来实施,例如添加 SECURE_REGISTER_listener_name=" 参数。
- 验证修补情况
在应用解决方案后,必须验证是否成功修补了漏洞。这通常涉及重新扫描系统,确保漏洞扫描工具不再报告 CVE-2012-1675。同时,也应进行功能测试,确认数据库服务的正常运行并未受到负面影响。