Oracle员工确实阅读此博客

根据Integrigy服务器的统计信息,我知道我们每天从Oracle代理服务器和缓存服务器获得数百次访问。总的来说,Oracle域(.com,.uk等)排名第一。绝大部分热门文章都出现在博客,RSS提要和我们的白皮书中。但是我不知道Oracle如何实际在内部使用此信息。好吧,现在我知道有人至少正在阅读我们的评论和建议。

连接它,黑客就会来

当客户第一次将未发布的供应商或客户应用程序部署到Internet时,他们总是对随机攻击的数量感到惊讶。可以肯定的是,许多人都在寻找PHP页面或其他早已修补的漏洞。经常出现的问题是“他们如何这么快找到服务器?”好吧,黑客只是在不断搜索地址块。

散列信用卡号

今年三月,我发表了 白皮书 研究一些应用程序如何对信用卡号进行哈希处理,以及这些哈希对暴力破解的脆弱性。我开发了一个概念证明来大致估计时间(大约每秒200万个哈希)。展望未来,我估计通过额外的优化,多线程和更快的处理器,每秒可以实现5000万个哈希。

11i:应用程序升级使我做到了

对Oracle应用产品实施进行安全评估有时会涉及一些侦探工作。在我们的评估期间,我们遇到了许多11.5.10 CU2实现,其中“难以猜测的登录密码”配置文件选项设置为“否”,而不是强烈建议的“是”。每次客户声称曾经将其设置为“是”,并且仔细分析后发现,大多数密码都与复杂性规则相匹配-因此,很可能已将其设置为“是”。

OAUG电子教学:Oracle重要补丁更新,2007年10月

本季度的Oracle重要补丁更新(CPU)于10月16日星期二发布。为了更好地了解CPU,我将在星期四举行一次Oracle应用产品用户组(OAUG)电子学习课程。该演讲将重点讨论对Oracle E-Business Suite环境的影响。

10月18日,星期四,美国东部时间上午9:00和下午5:00

Oracle重要补丁更新-2007年10月-电子商务套件的影响

Oracle昨天发布了第十二个重要补丁更新(CPU)。本季度与前十一季度相同,其中包含许多补丁程序,而且工作时间较长,以便及时获取所有安全补丁程序。幸运的是,与上个季度一样,本季度不需要Oracle应用服务器或Developer 6i的补丁程序。对于R12,Oracle现在已经累积了Oracle应用产品补丁,并且该补丁也包含在新发布的12.0.3补丁中。

Oracle Jinitiator 1.1.8漏洞

US-CERT于2007年8月28日发布了有关Oracle Jinitiator产品中多个堆栈缓冲区溢出的公告(漏洞说明VU#474433 / CVE-2007-4467)。由于Jinitiator上的公共技术信息有限,无法访问Oracle支持网站以及Oracle本身可能缺乏合作,因此US-CERT所发布的信息对于易受攻击的Jinitiator版本的真实范围并不完整,无法识别所有易受攻击者Jinitiator会安装,并且只有有限的修复步骤。



11i:设置侦听器密码

Oracle已发布有关为数据库和FNDFS侦听器设置密码的正确过程的Metalink说明。重要的是要注意,Oracle Applications 11i实现中有两个侦听器。第一个是标准数据库侦听器,它是已安装数据库的版本。第二个用于FNDFS / FNDMS,由并发管理器,通用服务管理器和其他内部Oracle Applications进程使用。第二个侦听器是8.0.6的一部分,因此是8.0.6.x版。应该为两个侦听器设置密码,

Oracle重要补丁更新-2007年7月-电子商务套件的影响

Oracle昨天发布了第十个重要补丁更新(CPU)。本季度与前十个季度相同,其中包含许多补丁程序,并且工作时间较长,以便及时应用所有安全补丁程序。幸运的是,与上个季度一样,本季度不需要Oracle应用服务器或Developer 6i的补丁程序。对于R12,Oracle现在已经累积了Oracle应用产品补丁,并且该补丁也包含在新发布的12.0.2补丁中。

OAUG电子教学:Oracle重要补丁更新,2007年7月

本季度的Oracle重要补丁更新(CPU)将于7月17日星期二发布。为了更好地了解CPU,我将在发行后的星期四举行一次Oracle应用产品用户组(OAUG)电子学习课程。该演讲将重点讨论对Oracle E-Business Suite环境的影响。

美国东部时间7月19日,星期四,上午9:00和下午5:00

页数

订阅RSS

将我们添加到您最喜欢的新闻阅读器中。

在Twitter上关注

获取最新更新。