(Oracle数据库监听器引起的安全威胁和防护技术.docxVIP

Oracle数据库监听器引起的安全威胁和防护技术安华金和 思成目录Oracle数据库监听器引起的安全威胁和防护技术1一.引言1二.TNS Listener面临的威胁12.1TNS Listener 漏洞分类12.2TNS Listener服务崩溃漏洞（第一类）22.3TNS 劫持（第二类第一种）32.4破解TNS默认加密方式（第二类第二种）32.5远程非法创建新DBA权限用户（第二类第三种）42.6通过TNS夺取操作系统（第三类）5三.TNS Listener漏洞防护技术53.1数据库弱口令检查（第一层）63.2定期更换oracle推荐的密码（第一层）63.3TNS Listener加密（第二层）63.4下载对应官方补丁包（第三层）73.5数据库防火墙（第三层）73.6数据库加密（最后一层）83.7小结8四.结束语8引言在今年的两会上，《政府采购法实施条例》正式实施。虽然安全行业迎来了数据库国产化的春天，但现今Oracle依旧是中国政府机关，使用最广泛的数据库。其安全性受到广泛关注。Oracle数据库必须使用TNS Listener（数据库监听器）来完成数据库和客户端之间的通讯。因此TNS Listener的漏洞成了很多黑客的主要目标。这些TNS Listener的漏洞如果不及时处理，将对用户的信息资产造成重大损失，同时也使许多敏感信息处于危险境地。本文主要对TNS Listener的漏洞带来的安全威胁和防护措施进行介绍，希望管理者和数据库的维护人员能够提高警惕，加强针对TNS Listener漏洞的防护措施。TNS Listener面临的威胁根据安华金和数据库安全实验室统计，2001年至2012年间，针对TNS LISTENER的漏洞有15个，其中高危漏洞9个中危漏洞6个。TNS Listener漏洞总数并不多，但其具备威胁大，跨越数据库版本多，适合通过网络远程攻击的特点。本文将针对这15个TNS漏洞按照攻击原理进行分类，并最终给出对应防护技术。TNS Listener 漏洞分类TNS Listener作为ORACLE的必备组件，TNS Listener不仅定义了数据库和客户端之间的通讯协议，更负责对客户端进行身份验证（确认客户端用于通讯的用户名和密码是否合法）。根据TNS这2条主要功能可以把漏洞分成三大类：第一类漏洞，TNS Listener被触发缓冲区重写，导致服务器无法响应客户端。造成通讯失败。简单说就是使TNS Listener崩溃。例如漏洞CVE-2007-5507就是这个类型的代表。第二类漏洞，绕过TNS身份验证，获得合法数据库账号和密码。这个类型具体可以分三种：1.通过劫持TNS信息，把oracle的登录信息劫持到攻击者机器，获取敏感信息，甚至获取oracle管理员账号密码。具体请参考安华金和数据库安全实验室发表的《Oracle数据库漏洞隐患 无需user/password快速入侵?》一文。 2.直接对在TNS中加密的oracle登录密钥进行破解具体请参考安华金和数据库安全实验室发表《破解oracle9i、oracle10g、oracle11g密码》一文。3.在远程登陆过程中对服务器进行sql注入。利用某些特殊函数，创建新的数据库账号，并为新账号创建DBA权限。例如漏洞CVE-2006-0552就是这个类型的代表。第三类漏洞，通过缓冲区溢出控制数据库所在操作系统。这个类型具体可分两种方式：1.直接通过向TNS Listener发送含有异常字段的包，当oracle调用含有异常字段的包的时候，触发缓冲区溢出。具体可以参考安华金和数据库安全实验室发表《通过OracleTNS漏洞攻占oracle所在操作系统，进而入侵oracle》一文。2.向TNS Listener发送含有异常数据的包，直接触发缓冲区溢出，夺取数据库所在操作系统控制权限。例如漏洞CVE-2002-0965就是这个类型的代表。其中第三类漏洞在15个漏洞中分布最广泛。下面我们按照类型进行原理介绍。TNS Listener服务崩溃漏洞（第一类）第一类漏洞中的代表是CVE-2007-5507。GIOP格式的消息中的DWORD被用来描述后面的字段的长度。当DWORD被恶意的修改后，如果DWORD所指出的长度比实际的字段的长度要长。TNS Listener会按照DWORD的数值来分配内存，把实际的字段考入。再读取的时候按照DWPRD的长度去读取，就会导致读取失败。TNS Listener服务崩溃，无法接受客户端的请求。导致服务器无法响应客户端。TNS 劫持（第二类第一种）该问题几乎存在于Oracle的所有版本，并且Oracle至今仅是发布了警告性通知，并未提供解决方案。TNS劫持的核心点在于监听会按照目标数据库名递送到名称正确的数据库。通过远程注册的方法可以让一个