Oracle Database Server 'TNS Listener'远程数据投毒漏洞

文章由LinuxBoy分享于2019-04-02 07:04:16热评（162）

Oracle Database Server 'TNS Listener'远程数据投毒漏洞

发布日期：2012-04-30
更新日期：2012-05-02

受影响系统：
Oracle Oracle10g Enterprise Edition 10.2.0.4
Oracle Oracle10g Enterprise Edition 10.2 .5
Oracle Oracle10g Enterprise Edition 10.2 .3
Oracle Oracle10g Personal Edition 10.2.0.4
Oracle Oracle10g Personal Edition 10.2 .5
Oracle Oracle10g Personal Edition 10.2 .3
Oracle Oracle10g Standard Edition 10.2.0.4
Oracle Oracle10g Standard Edition 10.2 .5
Oracle Oracle10g Standard Edition 10.2 .3
Oracle Oracle Oracle11g Standard Edition 11.2.0.3
Oracle Oracle Oracle11g Standard Edition 11.2.0.2.0
Oracle Oracle Oracle11g Standard Edition 11.1 .7
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 53308
CVE ID: CVE-2012-1675

Oracle Database Server是一个对象一关系数据库管理系统。它提供开放的、全面的、和集成的信息管理方法。每个Server由一个 Oracle DB和一个Oracle Server实例组成。它具有场地自治性（Site Autonomy）和提供数据存储透明机制，以此可实现数据存储透明性。

Oracle Database Server在实现上存在可允许攻击者向远程'TNS Listener'组件处理的数据投毒的漏洞，攻击者无需用户名和密码可利用此漏洞将数据库服务器的合法'TNS Listener'组件中的数据转向到攻击者控制的系统，导致控制远程组件的数据库实例，造成组件和合法数据库之间的攻击者攻击、会话劫持或拒绝服务攻击。

<*来源：Joxean Koret （joxeankoret@yahoo.es）

链接：http://seclists.org/fulldisclosure/2012/Apr/204
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Oracle
------
Oracle已经为此发布了一个安全公告（alert-cve-2012-1675-1608180）以及相应补丁:

alert-cve-2012-1675-1608180：Oracle Security Alert for CVE-2012-1675

链接：http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html

推荐文章：

Oracle Database Server 'TNS Listener'远程数据投毒漏洞