漏洞描述:
· Oracle Database Server是一个对象一关系数据库管理系统。
· Oracle Database Server在实现上存在可允许攻击者向远程'TNS Listener'组件处理的数据投毒的漏洞,攻击者无需用户名和密码可利用此漏洞将数据库服务器的合法'TNS Listener'组件中的数据转向到攻击者控制的系统,导致控制远程组件的数据库实例,造成组件和合法数据库之间的攻击者攻击、会话劫持或拒绝服务攻击。
限制注册本地实例
· 先决条件:
做好数据库的备份和恢复有效性的测试
· 操作步骤:
a. 查看数据库'TNS Listener'的配置文件和监听信息
b. 安装patch12880299
c.在listener.ora增加"SECURE_REGISTER_ LISTENER_PROD=(TCP)"
d. 重启Listener监听
e. 查看listener.log日志,会出现TNS-01194拒绝注册的信息
限制数据库注册本地实例
· 先决条件:
做好数据库的备份
· 操作步骤:
a. 查看数据库'TNS Listener'的配置文件和监听信息
b. 关停Listener监听
c. 在listener.ora增加"SECURE_REGISTER_ LISTENER_PROD=(IPC)"
d. 启动Listener监听
e. 修改local_listener参数
f. 查看listener.log日志,会出现TNS-01194拒绝注册的信息
漏洞描述:
· Oracle Database Server是一个对象一关系数据库管理系统
· Oracle Database Server在RDBMS Core组件的实现上存在远程安全漏洞,此漏洞可通过Oracle Net协议利用,经过身份验证的远程攻击者可利用此漏洞影响受影响组件的机密性
安装PSU补丁
· 先决条件:
做好数据库的备份和恢复有效性的测试
· 操作步骤:
a. 查看当前使用的数据库版本
b. 关停数据库实例和监听,并确认无相关进程
c. 检查补丁冲突
d. 通过opatch安装PSU补丁
e. 重启数据库实例和监听
f. 更新数据库数据字典
g. 检查补丁是否安装成功
漏洞描述:
· Struts2整合了动态网站技术中Srvlet、JSP、JavaBean、JDBC、XML等相关开发技术基础之上的一种WEB开发框架,是一个基于MVC设计模式的Web应用框架
· 在Struts2开发框架中使用namespace功能定义XML配置时,namespace值未被设置且在上层动作配置 ( Action Configuration) 中未设置或用通配符namespace,可能导致远程代码执行。同理,url标签未设置value和action值且上层动作未设置或用通配符namespace时也可能导致远程代码执行
将Struts2升级至官方修复版本,2.3.*的用户升级至2.3.35;2.5.*的用户升级至2.5.17
· 先决条件:
a. 确定Struts2升级目标版本所需的基本依赖包
b. 做好WEB项目的备份
· 操作步骤:
a. 判断当前使用的struts2版本
b. 将下载的jar包替换WEB项目WEB-INF/lib目录下面相应的jar包 //将上个版本相应的jar删除,替换成最新的
排查所有Struts 2的配置文件,如struts.xml,为没有定义namespace命名空间的package节点添加命名空间配置
使用防护类产品定制策略进行防护
Weblogic官方CPU更新补丁
对t3及t3s协议进行访问控制
谨记责任,高歌向前
▼
文案 | silent
排版 | silent
审核 | Hard Target
指导老师| Hard Target