Oracle Database Server ‘TNS Listener’远程毒药漏洞

漏洞起因
设计错误
危险等级

影响系统
Oracle Oracle11g Standard Edition 11.1 .7
Oracle Oracle11g Standard Edition 11.2.0.3
Oracle Oracle11g Standard Edition 11.2.0.2.0
Oracle Oracle11g Enterprise Edition 11.2 2
Oracle Oracle11g Enterprise Edition 11.2.0.3
Oracle Oracle11g Enterprise Edition 11.1.0.7
Oracle Oracle10g Standard Edition 10.2 .5
Oracle Oracle10g Standard Edition 10.2 .3
Oracle Oracle10g Standard Edition 10.2.0.4
Oracle Oracle10g Personal Edition 10.2 .5
Oracle Oracle10g Personal Edition 10.2 .3
Oracle Oracle10g Personal Edition 10.2.0.4
Oracle Oracle10g Enterprise Edition 10.2 .5
Oracle Oracle10g Enterprise Edition 10.2 .3
Oracle Oracle10g Enterprise Edition 10.2.0.4

不受影响系统

危害
远程攻击者可以利用漏洞完全控制数据库系统。

攻击所需条件
攻击者必须访问Oracle Database TNS Listener所在网络。

漏洞信息
Oracle Database是一款商业性质的大型数据库。
Oracle Database存在一个“TNS Listener Poison Attack”漏洞,允许攻击者利用漏洞操作TNS Listener的数据。TNS Listener组件负责连接建立。利用此漏洞无需验证,只要攻击者所处网络能访问TNS Listener即可。
成功利用漏洞攻击者可以完全控制数据库系统。

测试方法

厂商解决方案
用户可根据如下厂商提供的安全公告获得修补信息:
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1340831.1
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1453883.1

漏洞提供者
Joxean Koret

评论关闭。