严重的Oracle亚美错误-系统更改号(SCN)(CVE-2012-0082)

《 InfoWorld》杂志今天出版 详细资料 关于Oracle亚美安全性错误 CVE-2012-0082,在Oracle的 2012年1月重要补丁更新. 此安全漏洞与Oracle系统更改号(SCN)以及将SCN增加到当前最大值(SCN余量或最大合理SCN)以停止亚美事务处理的方式有关。 

该漏洞引起人们关注的地方是,当两个亚美通过亚美链接连接时,SCN会同步到最高的SCN。 因此,可以通过亚美链接将亚美增加到接近最大的SCN,它将链接到所有其他互连的亚美。 结果可能是ORA-600错误,并且具有较低SCN的亚美可能发生亚美崩溃。

该漏洞似乎是由于RMAN中的错误而发现的,该错误可能导致SCN达到当前的最大SCN值,并且更改了11.2.0.2。中的“最大合理SCN”的计算方式。 11.2.0.2的更改似乎已经影响或崩溃了一个非常大的Oracle客户的至少一百个亚美。

由于此漏洞将受到广泛关注,因此我们预见到一场“军备竞赛”,随之而来的是释放各种方法来恶意增加当前SCN以及执行与SCN相关的亚美拒绝服务攻击的技术。

整合学将在不久的将来发布我们对该漏洞的影响的分析以及有关减轻组织风险的建议。

Oracle已在My Oracle Support(MOS)注释中发布了有关SCN及其潜在影响的更多信息(需要My Oracle Support访问权限)-

有关系统更改号(SCN)及其在Oracle亚美中如何使用的信息 [ID 1376995.1]

 Share this post

订阅RSS

将我们添加到您最喜欢的新闻阅读器中。

在Twitter上关注

获取最新更新。