本文详细介绍了Oracle 11.2.0.4版本中针对TNS监听器远程中毒漏洞(CVE-2012-1675)的修复方案,包括单实例和RAC环境的修复步骤。通过启用VALID_NODE_CHECKING_REGISTRATION_LISTENER参数并配置REGISTRATION_INVITED_NODES,阻止非法远程注册,确保数据库安全。
Oracle 11.2.0.4 单实例和RAC修复方案
随着对网络安全的进一步重视,Oracle TNS 监听器远程中毒漏洞(CVE-2012-1675)被列为了高危漏洞,需要进行漏洞修复。
从Oracle 11.2.0.4开始,Oracle 引入了Valid Node Checking For Registration(VNCR)新特性,可以通过配置参数VALID_NODE_CHECKING_REGISTRATION_LISTENER来修复该漏洞。
1. 修复Oracle TNS 监听器远程中毒漏洞
1.1 修改监听文件
vi $ORACLE_HOME/network/admin/listener.ora
# listener.ora Network ConfigurationFile: /u01/app/oracle/product/11.2.0/db_1/network/admin/listener.ora
# GeneratedbyOracle configuration tools.
SID_LIST_LISTENER=(SID_LIST=(SID_DESC=(GLOBAL_DBNAME=ods)
(ORACLE_HOME= /u01/app/oracle/product/11.2.0/db_1)
(SID_NAME=ods)
)
)
LISTENER=(DESCRIPTION_LIST=(DESCRIPTION=(ADDRESS= (PROTOCOL = TCP)(HOST = IP或主机名)(PORT = 1521))
# (ADDRESS= (PROTOCOL = IPC)(KEY = EXTPROC1521)) --注释掉,一般不会使用ipc,绝大部分应用使用tcp连接数据库
)
)
ADR_BASE_LISTENER= /u01/app/oracle
# 单实例只需要新增下面这一行就OK
VALID_NODE_CHECKING_REGISTRATION_LISTENER=1# RAC需要新增下面三行,有多少个LISTENER_SCAN监听就添加几个
VALID_NODE_CHECKING_REGISTRATION_LISTENER=ONVALID_NODE_CHECKING_REGISTRATION_LISTENER_SCAN1=ONREGISTRATION_INVITED_NODES_LISTENER_SCAN1=(添加rac节点的所有public IP,包括主机IP,VIP,SCANIP)
1.2 重新加载监听
lsnrctl reload
lsnrctl reload listener_scan1 #
最低0.47元/天 解锁文章
扫一扫
1157
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
