如何修復(fù)oracle1521tns漏洞

這里建議用戶不要用相同的私鑰生成多張SSL證書，也不要將同一張SSL證書部署在多臺服務(wù)器上。建議在每臺服務(wù)器上均部署獨(dú)立的SSL證書，這樣攻擊者將無法利用其它服務(wù)器的漏洞，對關(guān)鍵服務(wù)器進(jìn)行攻擊，即使其中一臺服務(wù)器出現(xiàn)問題也不會影響其他服務(wù)器的正常運(yùn)行。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務(wù)項(xiàng)目有：申請域名、網(wǎng)站空間、營銷軟件、網(wǎng)站建設(shè)、陳巴爾虎網(wǎng)站維護(hù)、網(wǎng)站推廣。

"DROWN"全稱是 Decrypting RSA with Obsolete and Weakened Necryption，是指"利用過時的脆弱加密算法來對RSA算法進(jìn)破解"，主要針對SSLv2協(xié)議漏洞來對TLS進(jìn)行跨協(xié)議攻擊。

"DROWN攻擊"主要影響支持SSLv2的服務(wù)端和客戶端。SSLv2是一種古老的協(xié)議，許多客戶端已經(jīng)不支持使用，但由于配置上的問題，許多服務(wù)器仍然支持SSLv2。

"DROWN"使得攻擊者可以通過發(fā)送probe到支持SSLv2的使用相同密鑰的服務(wù)端和客戶端解密TLS通信。例如：將相同的私鑰同時用在Web服務(wù)端和Email服務(wù)端，如果Email服務(wù)支持SSLv2，但web服務(wù)不支持，那么攻擊者仍然能夠利用EMAIL服務(wù)的SSLv2漏洞獲取到web服務(wù)器的TLS連接數(shù)據(jù)。

如何應(yīng)對被公開的Oracle口令加密算法

由于Oracle數(shù)據(jù)庫被廣泛應(yīng)用，其口令加密算法也是備受關(guān)注。最早在1993年comp．databases．oracle．server新聞組中有人披露了加密算法的大部分細(xì)節(jié)。十年后，一本名為《Special Ops Host and Network Security for Microsoft， Unix and Oracle》的書中補(bǔ)全了算法最重要的一個環(huán)節(jié)——DES算法的KEY。至此，口令加密算法已無秘密可言。接踵而來的是互聯(lián)網(wǎng)上出現(xiàn)多個了Oracle口令破解工具。Oracle在2007年推出的最新版本11g中，使用了新的更安全的加密算法，但是新算法的細(xì)節(jié)很快又在互聯(lián)網(wǎng)上被公開。為提供兼容，11g版本保留了11g以前版本使用的加密口令，利用這一漏洞仍然可以對11g版本的加密口令進(jìn)行破解。

到底怎樣才能保證數(shù)據(jù)庫口令的安全呢？本文首先介紹Oracle數(shù)據(jù)庫各版本口令加密算法的內(nèi)容，然后針對算法重點(diǎn)介紹加強(qiáng)數(shù)據(jù)庫安全性的應(yīng)對措施。

口令加密算法

從Oracle7到Oracle 10gR2，使用DES算法對口令進(jìn)行加密。對算法進(jìn)行分析，可以得出如下結(jié)論：口令不區(qū)分大小寫，任意大小寫組合均可登錄；由于只使用固定KEY，只要用戶名和口令相同，在任一DB中存放的加密口令都相同；由于采用了用戶名和口令串接的方式，所以用戶aaa、口令bbbccc的加密值與用戶aaabbb、口令ccc完全相同。

Oracle 11g版本的加密口令存放在SYS．USER$表中的SPARE4列中，而PASSWORD列中仍保留以前版本加密口令。由于客戶端計(jì)算加密口令需要用到SALT，在建立連接時，服務(wù)器端將SALT明文傳送給客戶端程序。Oracle 11g中新的口令加密算法中區(qū)分大小寫；由于加入了隨機(jī)數(shù)SALT，兩個不同用戶的口令即便完全相同，計(jì)算得到的SHA1的散列值也不同；不同DB中相同用戶相同口令，SHA1散列值也可能不同。

目前，大多數(shù)破解工具的工作方式是得到加密口令后，對每一個可能的口令進(jìn)行加密計(jì)算，比較計(jì)算結(jié)果而確定是否正確。由此，抵御口令破解可以從三個方面著手：防止加密口令外泄；在加密口令落入黑客手中后，口令也是不可破解的，或盡量增加破解的時間；即便是口令被破解，也是無用的，不能存取數(shù)據(jù)庫。

防止加密口令泄露

1．應(yīng)用“最少權(quán)限”原則，盡量限制可存取加密口令用戶的人數(shù)

在數(shù)據(jù)庫中檢查具有存取SYS.USER$或DBA_USERS權(quán)限的用戶，并從不需要的用戶中收回權(quán)限。但是操作并不簡單，這也是數(shù)據(jù)庫管理工作的特點(diǎn)。每一廠商的軟件中都實(shí)現(xiàn)了SQL標(biāo)準(zhǔn)之外的擴(kuò)充，并且每一版本都有差異。限于篇幅，不可能對所有本文中建議的措施進(jìn)行詳細(xì)的解釋說明，僅以此處檢查權(quán)限為例展示DBA工作的復(fù)雜性。本文中如未說明，則默認(rèn)版本為11g。應(yīng)用于11g以前版本時，請讀者確認(rèn)是否需要修改。

檢查權(quán)限主要的工具是數(shù)據(jù)字典視圖（也可以直接存取SYS用戶的基表，但基表的定義沒有公布，官方不提供技術(shù)支持）。視圖DBA_TAB_PRIVS存放了數(shù)據(jù)庫中數(shù)據(jù)對象上的授權(quán)信息。假定用戶A1和A2可以存取SYS．USER$表，檢查在SYS用戶USER$上有存取權(quán)限的用戶，可執(zhí)行如下語句：

SELECT GRANTEE FROM DBA_TAB_PRIVS WHERE TABLE_NAME=‘USER$’；

我們已經(jīng)知道用戶A1和A2，都可以存取SYS.USER$表，但為什么在上面查詢結(jié)果中沒有出現(xiàn)呢？這是因?yàn)樵贠racle的權(quán)限管理中，對一個表的存取權(quán)限還可以通過系統(tǒng)權(quán)限或角色賦予，而DBA_TAB_PRIVS中僅列出了直接的對象權(quán)限的授予信息。對于SYS．USER$表而言，系統(tǒng)權(quán)限SELECT ANY DICTIONARY和角色DBA都包含了這一表的存取權(quán)限。所以完整列出所有可存取這一表的用戶應(yīng)增加下面兩條查詢語句的結(jié)果：

SELECT GRANTEE FROM DBA_SYS_PRIVS WHERE PRIVILEGE＝‘SELECT ANY DICTIONARY’；

SELECT GRANTEE FROM DBA_ROLE_PRIVS WHERE GRANTED_ROLE＝‘DBA’；

通過上面的查詢語句，還是會遺漏某些用戶。如果把DBA角色授權(quán)給另一角色Admin，然后又將Admin角色授權(quán)給另一用戶NEWU，則此用戶可存取SYS.USER$表，但在上述三個查詢中并沒有直接列出NEWU的名字（角色Admin會出現(xiàn)在第三個查詢語句的結(jié)果中）。

顯然，Oracle的授權(quán)構(gòu)成了一棵樹，完整的信息需要一段PL/SQL程序來完成。（對于11g以前版本，還需要檢查對DBA_USERS視圖有存取權(quán)限的用戶和角色。SELECT_CATALOG_ROLE角色如被授權(quán)，則可以存取所有數(shù)據(jù)字典視圖，但不能存取SYS的基表。）

2．設(shè)定對加密口令存取的審計(jì)

如果當(dāng)前系統(tǒng)中只有SYSDBA可以存取USER$，則一個變通辦法是審計(jì)SYSDBA的所有操作，其中也包括對USER$的存取。設(shè)置初始化參數(shù)audit_sys_operations ＝TRUE，重新啟動數(shù)據(jù)庫后激活對SYSDBA操作的審計(jì)。

審計(jì)文件的存放位置為：

11g版本中為：$ORACLE_BASE/admin/SID/ adump／ *．a(chǎn)ud

11g以前版本為： $ORACLE_HOME/rdbms/audit/ *．a(chǎn)ud。

嚴(yán)格限制和監(jiān)視SYSDBA用戶活動的最好辦法是使用Oracle Database Vault組件。

3．在操作系統(tǒng)級限制對數(shù)據(jù)庫數(shù)據(jù)文件的存取

SYSDBA用戶的加密口令存放在$ORACLE_HOME/dbs下的口令文件orapw〈SID〉中。SYS．USER$表同樣需要在數(shù)據(jù)文件中存放，多數(shù)為SYSTEM表空間的第一個數(shù)據(jù)文件中。此外，EXPORT文件、REDOLOG文件以及TRACE文件中都可能出現(xiàn)加密口令。需要嚴(yán)格限制上述文件的存取權(quán)限。

4．防止網(wǎng)絡(luò)竊聽

在建立連接時，客戶端需要向服務(wù)器端傳送用戶名和口令，并且服務(wù)器端與客戶端需要相互發(fā)送這次會話使用的SESSION KEY。Oracle采用Diffie-Hellman KEY交換算法和自己開發(fā)的O3LOGON協(xié)議完成上述任務(wù)。算法的細(xì)節(jié)同樣已在互聯(lián)網(wǎng)上被公開。建立連接時上述信息如果被截獲，同樣可以被用來破解口令。更為嚴(yán)重的是，如果黑客事先已經(jīng)獲得加密口令，結(jié)合SESSION KEY的信息，則不需要任何破解，執(zhí)行簡單還原運(yùn)算就可算出口令明文。

另外，設(shè)計(jì)SID時不要使用如ORCL、TEST、PROD等常用名字，設(shè)定PORT號為遠(yuǎn)遠(yuǎn)大于1521的數(shù)，都可以增加黑客SID掃描的難度和時間。

5． 刪除舊版的加密口令

存放在Oracle 11g數(shù)據(jù)庫中的以前版本的加密口令是口令破解工具的一個突破口。在沒有兼容性限制的系統(tǒng)中，可以考慮從系統(tǒng)中刪除舊版口令，從而增加破解難度。

具體操作如下：

在SQLNET.ORA中增加一行：SQLNET.ALLOWED_LOGON_VERSION=11（Oracle手冊中格式介紹有錯誤，不能加括號：…＝（11）），指定最低版本。

以SYSDBA登錄后，執(zhí)行以下語句，刪除舊版口令。

update sys.user$ set password＝NULL；

delete from user_history$；

commit；

設(shè)置修改后，基于OCI的工具如SQLPLUS、10gR1和10gR2版本都可以正常登錄，而JDBC type-4 則只有11g版本才允許登錄。

提高口令強(qiáng)度

1．禁止使用缺省口令，禁止與用戶名同名的口令，禁止字典詞匯的口令

Oracle 11g中提供一個視圖DBA_USERS_WITH_DEFPWD，可以方便地查出系統(tǒng)中使用缺省口令的所有用戶，不足的是還有不少遺漏。讀者可以在互聯(lián)網(wǎng)找到缺省口令的列表，雖然是非官方的，但是比DBA_USERS_WITH_DEFPWD使用的官方的列表更全。破解工具附帶的詞匯表有的包括了大型英文詞典中全部詞匯，并支持詞匯與“123”之類的常用后綴進(jìn)行組合。需要注意的是，有的詞匯表中已經(jīng)出現(xiàn)了“zhongguo”這樣的字符串，所以漢語拼音組成的口令也是不安全的。檢查系統(tǒng)中是否存在弱口令的最常用方法就是使用前述口令破解工具進(jìn)行攻擊。

2．規(guī)定口令最小字符集和口令最短長度

口令字符集最小應(yīng)包括字母、數(shù)字和特殊符號，口令長度最短應(yīng)不少于8位，對于安全性要求高的系統(tǒng)，最短長度應(yīng)為12位以上。同樣，問題的關(guān)鍵在于DBA指定初始口令以及用戶修改口令時保證不違反上述這些規(guī)定。每一用戶都對應(yīng)一個Profile，如在Profile中指定口令驗(yàn)證函數(shù)，則每當(dāng)創(chuàng)建或修改口令時，會自動檢查是否滿足驗(yàn)證程序中所設(shè)定的條件，如果不滿足，則口令修改失敗。對口令明文進(jìn)行檢查，顯然要比對加密口令破解效率高。此外，口令創(chuàng)建之時進(jìn)行檢查可以及時封殺弱口令，不給黑客留下破解的窗口。

指定口令驗(yàn)證函數(shù)的語句為：

ALTER PROFILE DEFAULT LIMIT PASSWORD_VERIFY_FUNCTION 口令驗(yàn)證函數(shù)名；

上例中，為“DEFAULT” Profile指定了驗(yàn)證函數(shù)。對用戶進(jìn)行分類后，應(yīng)當(dāng)為每一類用戶分別創(chuàng)建自己的Profile，而不是全部使用DEFAULT。關(guān)閉口令驗(yàn)證函數(shù)的語句為：

ALTER PROFILE DEFAULT LIMIT PASSWORD_VERIFY_FUNCTION NULL；

在$ORACLE_HOME/rdbms/admin/下，腳本文件UTLPWDMG.SQL提供了示例的口令驗(yàn)證函數(shù)，執(zhí)行這一腳本，將創(chuàng)建一名為VERIFY_FUNCTION的函數(shù)( Oracle 11g中，增加新函數(shù)verify_function_11G )。這一函數(shù)可以對口令長度是否同時出現(xiàn)了字母數(shù)字符號進(jìn)行檢查，檢查是否與用戶名同名，也檢查口令是否是幾個最常用的詞匯，如welcome、database1、account1等。最后，口令修改時檢查新舊口令是否過于相似。讀者實(shí)際使用時應(yīng)該根據(jù)系統(tǒng)需要對這一函數(shù)進(jìn)行必要的修改和擴(kuò)充。

3．使用易記憶的隨機(jī)口令限定口令長度后，如果口令沒有規(guī)律很難記憶，則用戶會采用他們自己的方式記住口令，大大增加了遭受社會工程攻擊的可能性。DBA需要幫助用戶設(shè)計(jì)一個容易記憶而又不易破解的口令。一個簡單易行的方法是找用戶非常熟悉的一個句子，如One world One dream，然后將每一個空格替換為數(shù)字或符號：One3world2One1dream#。

定期更換口令

抵御口令破解要從多方面著手

數(shù)據(jù)庫中存在多種權(quán)限用戶，各種授權(quán)用戶構(gòu)成一棵樹

應(yīng)對口令泄露或被破解的措施是強(qiáng)制定期更換口令，設(shè)定口令重復(fù)使用限制，規(guī)定封鎖口令的錯誤次數(shù)上限及封鎖時間。即便是加密口令落入黑客手中，在被破解之前或入侵之前，修改了口令，則口令破解變得毫無意義。為了方便記憶，一般用戶有重新使用之前過期口令的傾向，如果對重用不加控制，則定期更換口令將失去意義。上述對口令的管理仍然是通過Profile完成：

ALTER PROFILE DEFAULT LIMIT

PASSWORD_LIFE_TIME 30

PASSWORD_GRACE_TIME 7

PASSWORD_REUSE_TIME 365

PASSWORD_REUSE_MAX 0

FAILED_LOGIN_ATTEMPTS 10

PASSWORD_LOCK_TIME UNLIMITED

PASSWORD_VERIFY_FUNCTION my_verify_function;

上面語句制定的口令管理政策為：口令的有效期為30天，隨后有7天的寬限期，寬限期后口令“過期”，必須更改口令后才能登錄。只有經(jīng)過365天后才能重新使用以前的口令。在連續(xù)10次輸入口令錯誤后，賬號被封鎖，設(shè)定不自動解鎖，必須由DBA手動解除封鎖?？诹铗?yàn)證函數(shù)為my_verify_function。

Oracle 11g以前版本，缺省設(shè)置中沒有設(shè)定口令的有效期，而在Oracle 11g中缺省設(shè)置有效期為180天。程序中直接寫入口令的應(yīng)用在升級到11g時一定要注意有效期問題，避免半年后應(yīng)用突然無法自動運(yùn)行。另外，口令的有效期對SYS用戶不起作用，DBA一定要主動定期更換口令。

另外一個措施是對登錄數(shù)據(jù)庫服務(wù)器的主機(jī)進(jìn)行限定，如指定網(wǎng)段或指定IP地址。進(jìn)一步限定客戶端允許執(zhí)行的程序，如對非本地登錄禁止使用SQLPLUS，只允許執(zhí)行某特定應(yīng)用。

認(rèn)真實(shí)施本文中給出的措施后，可以很有效地防止口令被破解。然而我們的目的是提高數(shù)據(jù)庫系統(tǒng)的安全性，而不僅僅是保證口令不被破解。數(shù)據(jù)庫系統(tǒng)安全的任何一個環(huán)節(jié)出現(xiàn)問題，都會導(dǎo)致前功盡棄。黑客的目的是入侵系統(tǒng)盜竊數(shù)據(jù)，是不會按常理出牌的，會嘗試各種手段方式，如社會工程、安全漏洞、物理入侵等等，而不會執(zhí)著地在口令破解上與我們較勁。這一點(diǎn)需要我們經(jīng)常提醒自己，從而切實(shí)保證數(shù)據(jù)庫系統(tǒng)安全。

TechTarget中國原創(chuàng)內(nèi)容

oracle mysql server遠(yuǎn)程安全漏洞怎樣修復(fù)

漏洞是指應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計(jì)上的缺陷或在編寫時產(chǎn)生的錯誤，

這個缺陷或錯誤可以被不法者或者電腦黑客利用。修補(bǔ)漏洞，可以用騰訊電腦管家，

修復(fù)漏洞，強(qiáng)大智能的漏洞修復(fù)工具，全面修復(fù)微軟系統(tǒng)漏洞和第三方軟件漏洞。

請教幾個關(guān)于Oracle11g高危漏洞修復(fù)問題

打開騰訊電腦管家——工具箱——修復(fù)漏洞，進(jìn)行漏洞掃描和修復(fù)。

建議設(shè)置開啟自動修復(fù)漏洞功能，開啟后，電腦管家可以在發(fā)現(xiàn)高危漏洞（僅包括高危漏洞，不包括其它漏洞）時，第一時間自動進(jìn)行修復(fù)，無需用戶參與，最大程度保證用戶電腦安全。尤其適合老人、小孩或計(jì)算機(jī)初級水平用戶使用。開啟方式如下：進(jìn)入電腦管家“修復(fù)漏洞”模塊—“設(shè)置”，點(diǎn)擊開啟自動修復(fù)漏洞即可。