g數(shù)據(jù)庫軟件“Oracle8i”存在有安全漏洞

2024-08-29 13:45:13

字體：大中小

供稿：網(wǎng)友

　　
　　日前美國Network Associates、美國CERT/CC及美國Oracle發(fā)出警告說，數(shù)據(jù)庫軟件“Oracle8i”存在有安全漏洞。假如這一安全漏洞被惡意使用的話就可能面臨如下危險：通過遠程操作在數(shù)據(jù)庫服務器上執(zhí)行任意代碼并可以奪取服務器的控制權。美國Oracle公司已經(jīng)公布了有關補丁程序，服務器治理員必須盡快使用。
　　
　　出現(xiàn)安全漏洞的原因是Oracle8i的TNS (Transparent Network Substrate) Listener 注）使用了未經(jīng)檢查的緩沖器。因此，一旦發(fā)送某種請求就存在引起緩沖器溢出或執(zhí)行任意代碼的危險。此時，這種代碼就可能以TNS Listener的權限執(zhí)行。由于緩沖器溢出發(fā)生在用戶認證之前，因此攻擊者并不需要輸入用戶ID和口令。
　　
　　TNS Listener的執(zhí)行權限因平臺不同而不同，因此安全漏洞帶來的影響也不盡相同。在UNIX系統(tǒng)下，攻擊者的代碼能在“Oracle”用戶的權限下執(zhí)行。在Windows系統(tǒng)下，能在“Local System”的安全環(huán)境（Context）下執(zhí)行。不管在哪種系統(tǒng)下攻擊者都有可能奪取數(shù)據(jù)庫的控制權，但在Windows系統(tǒng)下情況有可能更為嚴重。因為攻擊者還可能奪得OS治理員的權限。
　　
　　美國Oracle公布的補丁程序可以通過該公司的支持服務Web站點“Metalink”（http://metalink.oracle.com）下載。補丁的序號為“1489683”。
　　
　　注:所謂的TNS Listener指的是響應客戶的請求、確立連接的配置程序。缺省狀態(tài)下通過TCP端口1521號等待請求。

上一篇：如何在你的Linux機器上安裝運行Oracle jdbc:thin with java (OAS) DBA

下一篇：在Adaptive Server Anywhere和Oracle之間構造通用函數(shù)