Oracle安全博客

这是对...的简要分析预发布公告即将到来的2008年1月Oracle Tricon Patch更新（CPU） -

作为Oracle季度关键补丁更新（CPU）进程的一部分，正在向即将到来的CPU的新提醒电子邮件发送给已注册电子邮件通知的所有个人CPU网页。这封电子邮件只是一个提醒人员，下一个CPU将于2008年1月15日发布（中午太平洋时间之后的某个时间）。

我尊重甲骨文在内部成为自己产品的早期采用者，包括最新的Oracle E-Business Suite的实现。不幸的是，Oracle似乎没有在任何地方运行他们的所有产品。

我最近不得不重新审视我提供的估计Brute Forcing的白皮书信用卡散列以来，新技术已发布，可以使用现成的视频卡将蛮能施加至少5倍的蛮能。好吧，一个月后，我必须再次修改估计数。 Nick Briese Of New Zealand发表了一篇论文

从积分服务器统计中，我知道我们从Oracle代理和缓存服务器每天获得数百次访问。很多天总统甲骨文域名（.com，.uk等）是第一名。绝大多数命中都在博客，RSS饲料和我们的白皮书上。但我尚未知道Oracle如何在内部实际使用此信息。好吧，现在我知道有人至少阅读我们的意见和建议。

当客户端部署未公开的供应商或客户应用程序时，他们总是在纯粹的随机攻击时惊讶。授予其中许多正在寻找PHP页面或其他一些很久以前修补了漏洞。总是出现的问题是“他们是如何快速地找到服务器的？”好吧，黑客只是在不断的基础上搜索地址块。

我过去三月，我发表了白皮书看看一些应用程序哈希信用卡号码以及这些散列的脆弱程度如何迫使。我制定了概念证明，以粗略估计时间（每秒约200万哈希）。展望未来，我估计了额外的优化，多线程，更快的处理器可能是每秒5000万哈希可实现。

对Oracle Applications实现执行安全评估有时涉及一些侦探工作。在我们的评估期间，我们遇到了许多11.5.10的CU2实现，其中“难以猜测”配置文件选项的“签名密码”选项设置为否而不是强烈建议的是。每次，客户都声称它用于设置为Yes，仔细分析显示绝大多数密码匹配复杂性规则 - 所以它最有可能已设置为是。

本季度Oracle Tricon Patch更新（CPU）于10月16日星期二发布。为了更好地了解CPU，我将在周四呈现Oracle应用程序用户组（OAUG）电子学习会话。演示文稿将专注于对Oracle E-Business Suite环境的影响。

10月18日星期四上午9:00和下午5:00。东部时间

这是对...的简要分析预发布公告即将到来的2007年10月Oracle关键补丁更新（CPU） -

美国证书于2007年8月28日发布了一份关于Oracle Jinitiator产品的多堆栈缓冲区溢出的咨询（漏洞笔记VU＃474433 / CVE-2007-4467）。由于有关金发子毒者的公共技术信息有限，无法访问Oracle支持网站，也许缺乏Oracle本身的合作，US-Cert发布​​的信息对弱势群体的真实范围不完整，不识别所有易受伤害Jinitiator安装，并且只有有限的修复步骤。

Oracle已发布关于设置数据库和FNDFS侦听器的密码的正确步骤的Metalink音符。值得注意的是，Oracle应用程序11i实现中有两个侦听器。第一个是标准数据库侦听器，是已安装数据库中的版本。第二个是用于FNDFS / FNDMS，并由并发管理器，通用服务管理器和其他内部Oracle应用程序流程使用。第二个侦听器是8.0.6的一部分，因此版本为8.0.6.x.密码应该为两个侦听器设置，

Oracle更新了白皮书“用于确保电子商务套件11i的最佳实践”Metalink Note ID 189367.1版本3.0.5。主要变更包括 -