研究人员误解Oracle咨询，披露未修补的数据库漏洞

一位安全研究员发布了关于如何利用未修补的Oracle数据库服务器漏洞来拦截客户端和数据库之间交换的信息的说明，他们错误地认为该公司已修补该缺陷。

Oracle于4月17日发布的2012年4月重要补丁更新（CPU）顾问将安全研究员Joxean Koret归因于他通过网络智能公司iSIGHT Partners报告的漏洞。

在4月18日发送到Full Disclosure邮件列表的电子邮件中，发现该漏洞位于Oracle TNS Listener（组件t）中帽子将客户端连接到Oracle数据库服务器，具体取决于他们尝试访问的数据库。

[更多阅读：如何从Windows PC删除恶意软件]

TNS侦听器具有1 年推出的默认功能，允许客户远程注册数据库服务或数据库实例，不需要认证，Koret说。

客户端向TNS Listener发送远程注册请求，并定义一个新的服务名称，IP地址，其下的数据库实例以及其他设置。然后，TNS侦听器将启动路由包含该服务名称或数据库实例的所有客户端请求。

但是，TNS侦听器还允许远程注册已注册的数据库实例或服务名称，Koret说。 “TNS监听器会将这个较新的已注册实例名称视为一个群集实例（Oracle RAC，Real Application Clusters）或故障转移实例（Oracle Fail over），”他表示，“在这种情况下，TNS侦听器执行负载平衡通过将第一个客户端发送到最近注册的客户端和第二个客户端发送到原始客户端。这允许本地攻击者将50％到75％的客户端路由到他控制的数据库服务器，Koret说。

然后，攻击者可以使用他控制的服务器上的TNS侦听器将客户端请求路由回合法数据库实例，有效地建立一个TNS代理，允许他拦截所有在客户端和目标数据库之间交换的数据。然而，这不是该漏洞允许的唯一攻击场景。 Koret说，攻击者通过处于中间状态，也可以在客户端发送的SQL查询中注入流氓指令，或者完全劫持他们的会话以执行任意查询。“

研究人员提到， t测试Oracle针对此漏洞的补丁是否被认为包含在2012年4月的CPU中，实际上是针对所有攻击媒介的。

然而，在与Oracle进行了几次后续电子邮件后，他意识到该公司没有实际上修补了目前支持的数据库服务器版本的缺陷，但是却以尚未发布的版本来解决它。

Oracle决定在即将发布的版本中修补缺陷，但不是现有版本中的缺陷，因为修复是非常复杂的，并且可能会导致其他问题，Koret在周四发送给Full Disclosure邮件列表的第二封电子邮件中说。甲骨文没有立即回复评论请求。 Koret说，在与Oracle确认漏洞已被解决后，公开披露漏洞细节的决定，包括如何利用漏洞的说明。然而，他补充说，该公司告诉他，它“已在产品的未来版本中修复”。

研究人员认为，在Oracle的2012年4月CPU咨询中收到的实际更新中未修复的漏洞的信用是误导性的并表示该公司在未来应该停止这样做。

但是，Koret被列入Oracle咨询的“安全深度贡献者”部分，该部分声明：“如果安全漏洞问题导致与安全漏洞问题有关的信息，观察或建议，在未来的版本中对Oracle代码或文档进行了重大修改，但并非如此重要，以致它们在重要补丁更新中分发。“

Koret在其4月18日的建议中描述了若干解决方案，以在未部署补丁的情况下减轻漏洞。一种是通过在listener.ora配置文件中设置“dynamic_registration = off”来禁用TNS Listener远程注册功能。

然而，对于实际需要该功能的配置（例如Oracle RAC群集），这是不可行的。 “要将这种解决方法应用于Oracle RAC环境，需要在客户端实施负载平衡，更改所有客户端的tnsnames.ora配置文件以添加完整的Oracle RAC节点列表，”Koret说，