Oracle Database Server是一個對象一關系數據庫管理系統。它提供開放的、全面的、和集成的信息管理方法。每個Server由一個 Oracle DB和一個Oracle Server實例組成。它具有場地自治性(Site Autonomy)和提供數據存儲透明機制,以此可實現數據存儲透明性。
Oracle Database Server在實現上存在可允許攻擊者向遠程'TNS Listener'組件處理的數據投毒的漏洞,攻擊者無需用戶名和密碼可利用此漏洞將數據庫服務器的合法'TNS Listener'組件中的數據轉向到攻擊者控制的系統,導致控制遠程組件的數據庫實例,造成組件和合法數據庫之間的攻擊者攻擊、會話劫持或拒絕服務攻擊。
<*來源:Joxean Koret (joxeankoret@yahoo.es)
鏈接:http://seclists.org/fulldisclosure/2012/Apr/204
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html
*>
解決方法
廠商補丁:
Oracle
------
Oracle已經為此發布了一個安全公告(alert-cve-2012-1675-1608180)以及相應補丁:
alert-cve-2012-1675-1608180:Oracle Security Alert for CVE-2012-1675
鏈接:http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html