国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

記11.2.0.3版本遠程投毒修復方案

IT那活兒 / 1883人閱讀
記11.2.0.3版本遠程投毒修復方案
點擊上方“IT那活兒”公眾號,關注后了解更多內容,不管IT什么活兒,干就完了!!!

概述及分析

客戶的一套x86系統上運行的11.2.3版本數據庫,掃描出Oracle遠程監聽投毒漏洞,根據Oracle Security Alert for CVE-2012-1675安全警示里提到的受影響的版本為11g,10g。

12c以上版本該漏洞已修復,不要需要人工干預處理。

  • Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3, 11.2.0.4
  • Oracle Database 11g Release 1, version 11.1.0.7
  • Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5

分析:

參考CVE-2012-1675安全警示里提到My Oracle Support Note 1340831.1文檔,需要對scan_listener和listener做相關配置。

針對11.2.03這塊,我梳理了以步驟,供參考。

步驟一:配置scan_listener

1. Create an Oracle wallet.

su - grid
cd /oracle/app/11.2.0/grid/network/
chmod 775 admin
#使用oracle用戶創建wallet,需要調整$GI_HOME/network/admin目錄權限

su - oracle
cd /oracle/app/11.2.0/grid/network/admin/
mkdir cost

orapki wallet create -wallet /oracle/app/11.2.0/grid/network/admin/cost
Oracle PKI Tool : Version 11.2.0.2.0 - Production
Copyright (c) 2004, 2010, Oracle and/or its affiliates. All rights reserved.
2. 刪除默認wallet認證.
orapki wallet remove -trusted_cert_all -wallet /oracle/app/11.2.0/grid/network/admin/cost
Oracle PKI Tool : Version 11.2.0.2.0 - Production
Copyright (c) 2004, 2010, Oracle and/or its affiliates. All rights reserved.
3. 創建自定義認證.
orapki wallet add -wallet /oracle/app/11.2.0/grid/network/admin/cost -self_signed -dn "cn=secure_register" -keysize 1024 -validity 3650
Oracle PKI Tool : Version 11.2.0.2.0 - Production
Copyright (c) 2004, 2010, Oracle and/or its affiliates. All rights reserved.
4. 查看wallet內容.
orapki wallet display -wallet /oracle/app/11.2.0/grid/network/admin/cost -summary
Oracle PKI Tool : Version 11.2.0.2.0 - Production
Copyright (c) 2004, 2010, Oracle and/or its affiliates. All rights reserved.
Requested Certificates:
User Certificates:
Subject: CN=secure_register
Trusted Certificates:
Subject: CN=secure_register
5. 拷貝/oracle/app/11.2.0/grid/network/admin/cost到其它節點.
6. 創建auto-login file "cwallet.sso".
orapki wallet create -wallet /oracle/app/11.2.0/grid/network/admin/cost -auto_login
Oracle PKI Tool : Version 11.2.0.2.0 - Production
Copyright (c) 2004, 2010, Oracle and/or its affiliates. All rights reserved.
7. 修改cwallet.sso權限.
chmod 640 cwallet.sso
ls -al
-rw-r----- 1 oracle oinstall 2493 Jul 11 15:18 cwallet.sso
-rw------- 1 oracle oinstall 2416 Jul 11 15:18 ewallet.p12
8. 添加wallet路徑到listener.ora.
cp listener.ora listener.ora.bak
vi listener.ora
WALLET_LOCATION =
(SOURCE =
(METHOD = FILE)
(METHOD_DATA =
(DIRECTORY = /oracle/app/11.2.0/grid/network/admin/cost)
)
)

#SECURE_REGISTER_LISTENER_SCAN1 = (IPC,TCPS)
--上述#等全部配置完成后再刪除
9. 修改scan_listener的協議信息,并重啟scan_listener.
srvctl config scan_listener
SCAN Listener LISTENER_SCAN1 exists. Port: TCP:1521

srvctl modify scan_listener -p TCP:1521/TCPS:1523

srvctl stop scan_listener
srvctl start scan_listener

srvctl config scan_listener
SCAN Listener LISTENER_SCAN1 exists. Port: TCP:1521/TCPS:1523
10. 添加wallet信息到sqlnet.ora,并重啟實例(所有節點操作).
cat /u01/app/oracle/product/11.2.0/dbhome_2/network/admin/sqlnet.ora

WALLET_LOCATION =
(SOURCE =
(METHOD = FILE)
(METHOD_DATA =
(DIRECTORY = /oracle/app/11.2.0/grid/network/admin/cost)
)
)
11. 調整remote_lister.
SQL> show parameter remote_listener

NAME TYPE VALUE
--------------- ----------- ------------------------------
remote_listener string      192.168.XX.11:1521


srvctl config scan
SCAN name: integb-cluser-scan, Network: 1/192.168.0.0/255.255.255.0/bond0
SCAN VIP name: scan1, IP: /testdb-cluser-scan/192.168.XX.11

alter system set remote_listener=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=192.168.XX.11
)(PORT=1523))) scope=both sid=*;
12. 刪除listenr.ora文件中SECURE_REGISTER_LISTENER_SCAN1注釋(所有節點操作).
SECURE_REGISTER_LISTENER_SCAN1 = (IPC,TCPS)
13. 重啟scan_listener.
srvctl stop scan_listener
srvctl start scan_listener

步驟二:配置listener參數

前提是基于bug:12880299已更打的基礎上,再去配置listener。
1. listener.ora配置TCP/IPC協議.
SECURE_REGISTER_LISTENER = (IPC,TCP)
2. 重啟監聽.
srvctl stop listener
srvctl start listener

步驟三:回退

1. remote_listener參數回退.

alter system set remote_listener=192.168.XX.11:1521 scope=both sid=*;
show paraemter remote_listener
2. scan_listener的協議信息回退.
srvctl modify scan_listener -p TCP:1521
3. listener.ora文件回退.
4. sqlnet.ora文件回退.
5. 刪除cost文件.

6. 重啟scan_listenr,listenr,數據庫實例.

總 結

Oracle遠程監聽投毒漏洞主要影響11g版本,11.2.0.4以下版本可以參考My Oracle Support Note 1340831.1文檔,篩選涉及到的版本進行配置修復。11.0.2.4版本修復比較簡單,具體參考My Oracle Support Note 1600630.1


本文作者:金震宇(上海新炬王翦團隊)

本文來源:“IT那活兒”公眾號

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/129324.html

相關文章

  • MyEclipse 2016 Stable 1.0發布

    摘要:正式發布在保留之前系列的工具之外,又新增了許多非常棒的新功能。語法高亮受夠了中的編碼體驗那就來試試。改進了編碼的語法高亮功能,大大提升了代碼的可讀性。支持支持,因此所有的功能,比如語法高亮代碼折疊,甚至處理,都是支持的。默認將作為標準。 MyEclipse 2016 Stable 1.0正式發布!在保留之前CI系列的工具之外,又新增了許多非常棒的新功能。正式版下載地址 Eclipse ...

    yexiaobai 評論0 收藏0

  • MyEclipse 2016 Stable 1.0發布

    摘要:正式發布在保留之前系列的工具之外,又新增了許多非常棒的新功能。語法高亮受夠了中的編碼體驗那就來試試。改進了編碼的語法高亮功能,大大提升了代碼的可讀性。支持支持,因此所有的功能,比如語法高亮代碼折疊,甚至處理,都是支持的。默認將作為標準。 MyEclipse 2016 Stable 1.0正式發布!在保留之前CI系列的工具之外,又新增了許多非常棒的新功能。正式版下載地址 Eclipse ...

    libxd 評論0 收藏0

  • MyEclipse 2016 Stable 1.0發布

    摘要:正式發布在保留之前系列的工具之外,又新增了許多非常棒的新功能。語法高亮受夠了中的編碼體驗那就來試試。改進了編碼的語法高亮功能,大大提升了代碼的可讀性。支持支持,因此所有的功能,比如語法高亮代碼折疊,甚至處理,都是支持的。默認將作為標準。 MyEclipse 2016 Stable 1.0正式發布!在保留之前CI系列的工具之外,又新增了許多非常棒的新功能。正式版下載地址 Eclipse ...

    mdluo 評論0 收藏0

  • 大話后端開發的奇淫技巧大集合

    摘要:,大家好,很榮幸有這個機會可以通過寫博文的方式,把這些年在后端開發過程中總結沉淀下來的經驗和設計思路分享出來模塊化設計根據業務場景,將業務抽離成獨立模塊,對外通過接口提供服務,減少系統復雜度和耦合度,實現可復用,易維護,易拓展項目中實踐例子 Hi,大家好,很榮幸有這個機會可以通過寫博文的方式,把這些年在后端開發過程中總結沉淀下來的經驗和設計思路分享出來 模塊化設計 根據業務場景,將業務...

    CloudwiseAPM 評論0 收藏0

發表評論

0條評論

IT那活兒

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<