【技術乾貨】Oracle資料庫漏洞掃描指南

綠盟科技發表於2019-08-26

Oracle資料庫目前是應用最廣泛的資料庫之一,同時其安全問題也備受矚目,Oracle每個季度(現在是每年1月、4月、7月、10月)釋出關鍵補丁更新公告,對系列產品安全漏洞進行修復。對於安全運維人員來講,在這個時間進行廣泛漏洞掃描,督促資料庫維護人員儘快打上補丁,正是合適的時機。

事情看起來簡單,然而細節決定成敗。在使用漏洞掃描產品對Oracle資料庫進行漏洞掃描的時候,需要區分使用的掃描方式,否則可能對後續的修復加固工作帶來一系列的困擾。一般來講,Oracle資料庫掃描分為遠端掃描登入掃描,其中登入掃描又分為資料庫登入掃描作業系統登入掃描。對於Oracle的遠端掃描,建議作為在大範圍網路中,探測可能受影響的Oracle資料庫的手段,而 登入掃描作為進一步精準判定漏洞的手段。

遠端掃描:透過遠端網路訪問的方式,獲取被掃描物件的版本、指紋等資訊,判斷是否受漏洞影響。優點是能夠快速、大範圍識別網路中各系統存在的漏洞,然而在遇到Oracle資料庫這類產品時,其容易產生誤報的缺點也暴露出來。

Oracle資料庫遠端反饋的版本資訊的時候,僅包含前四位版本資訊,而PSU升級包修補漏洞後,影響版本號的第五位,所以業內提供遠端掃描方式的漏洞掃描產品,面對Oracle資料庫的時候誤報較多。遠端掃描結果可以作為快速初步定位的手段,但不能作為確認依據。如果需要進一步確認,就應該進行登入掃描。

【技術乾貨】Oracle資料庫漏洞掃描指南


大多數漏洞掃描產品廠商為解決遠端掃描Oracle資料庫誤報的問題均提供瞭解決辦法,以綠盟RSAS產品為例,為了避免遠端掃描Oracle資料庫產生誤報,綠盟RSAS預設不啟用Oracle掃描外掛,如果需要掃描,在配置中勾選“啟用”即可。同時也提供登入掃描選項,進行精確掃描。

如果只關注Oracle掃描,可以只選擇【Oracle資料庫】模板進行Oracle資料庫專項掃描。


【技術乾貨】Oracle資料庫漏洞掃描指南


登入掃描:登入掃描分為資料庫登入掃描和系統登入掃描。

      資料庫登入掃描:這種方式獲取的補丁資訊有限,不如系統登入獲取補丁資訊全面,對漏洞掃描產品來講,判斷漏洞存在還有侷限。但是登入資料庫後可以從資料表中查詢到元件等資訊。

系統登入掃描:登入Windows或者Linux,可以全面獲取Oracle資料庫的補丁資訊,能夠精準的判斷是否存在漏洞。

所以,對於安全運維人員來講,在透過遠端掃描大範圍判斷Oracle資料庫存在以後(或者本來就已經掌握了系統中有哪些資料庫),就可以使用資料庫登入+作業系統登入,對漏洞進行精準的確認。

仍然以綠盟RSAS產品為例,可以在任務配置中啟用登入檢查,然後輸入作業系統登入方式和Oracle資料庫登入方式,實現漏洞精準掃描。

【技術乾貨】Oracle資料庫漏洞掃描指南


【技術乾貨】Oracle資料庫漏洞掃描指南

資料資產是業務系統的最核心資產,資料庫安全無小事,在日常安全漏洞掃描提供監督機制的基礎上,根據實際的場景選擇適當的掃描方式,既能進一步提供精準的漏洞判定結果,也能夠減少DBA們的無效工作,可以提高整體工作效率,最終將資料庫安全真正地做好。

相關文章