Oracle安全博客

我确实感谢Oracle在内部早日采用自己的产品，包括对最新Oracle E-Business Suite的大量实施。不幸的是，Oracle似乎并未在所有地方都运行其所有产品。 

我最近不得不 重访 我在我们提供的估算中 关于蛮力逼迫的白皮书 自从新技术问世以来，信用卡散列就可以使用现成的视频卡将暴力破解的速度提高至少5倍。好吧，一个月后，我不得不再次修改估算。新西兰的尼克·布雷斯（Nick Breese）已在

根据Integrigy服务器的统计信息，我知道我们每天从Oracle代理服务器和缓存服务器获得数百次访问。总的来说，Oracle域（.com，.uk等）排名第一。绝大部分热门文章都出现在博客，RSS提要和我们的白皮书中。但是我不知道Oracle如何实际在内部使用此信息。好吧，现在我知道有人至少正在阅读我们的评论和建议。

当客户第一次将未发布的供应商或客户应用程序部署到Internet时，他们总是对随机攻击的数量感到惊讶。可以肯定的是，许多人都在寻找PHP页面或其他早已修补的漏洞。经常出现的问题是“他们如何这么快找到服务器？”好吧，黑客只是在不断搜索地址块。

今年三月，我发表了 白皮书 研究一些应用程序如何对信用卡号进行哈希处理，以及这些哈希对暴力破解的脆弱性。我开发了一个概念证明来大致估计时间（大约每秒200万个哈希）。展望未来，我估计通过额外的优化，多线程和更快的处理器，每秒可以实现5000万个哈希。

对Oracle应用产品实施进行安全评估有时会涉及一些侦探工作。在我们的评估期间，我们遇到了许多11.5.10 CU2实现，其中“难以猜测的登录密码”配置文件选项设置为“否”，而不是强烈建议的“是”。每次客户声称曾经将其设置为“是”，并且仔细分析后发现，大多数密码都与复杂性规则相匹配-因此，很可能已将其设置为“是”。

本季度的Oracle重要补丁更新（CPU）于10月16日星期二发布。为了更好地了解CPU，我将在星期四举行一次Oracle应用产品用户组（OAUG）电子学习课程。该演讲将重点讨论对Oracle E-Business Suite环境的影响。

10月18日，星期四，美国东部时间上午9:00和下午5:00

这是对 发行前公告 即将于2007年10月发布的Oracle重要补丁更新（CPU）-

US-CERT于2007年8月28日发布了有关Oracle Jinitiator产品中多个堆栈缓冲区溢出的公告（漏洞说明VU＃474433 / CVE-2007-4467）。由于Jinitiator上的公共技术信息有限，无法访问Oracle支持网站以及Oracle本身可能缺乏合作，因此US-CERT所发布的信息对于易受攻击的Jinitiator版本的真实范围并不完整，无法识别所有易受攻击者Jinitiator会安装，并且只有有限的修复步骤。

Oracle已发布有关为数据库和FNDFS侦听器设置密码的正确过程的Metalink说明。重要的是要注意，Oracle Applications 11i实现中有两个侦听器。第一个是标准数据库侦听器，它是已安装数据库的版本。第二个用于FNDFS / FNDMS，由并发管理器，通用服务管理器和其他内部Oracle Applications进程使用。第二个侦听器是8.0.6的一部分，因此是8.0.6.x版。应该为两个侦听器设置密码，

Oracle更新了白皮书“保护电子商务套件11i的最佳做法” Metalink说明ID 189367.1 到版本3.0.5。主要变化包括-

本季度的Oracle重要补丁更新（CPU）将于7月17日星期二发布。为了更好地了解CPU，我将在发行后的星期四举行一次Oracle应用产品用户组（OAUG）电子学习课程。该演讲将重点讨论对Oracle E-Business Suite环境的影响。

美国东部时间7月19日，星期四，上午9:00和下午5:00

这是对 发行前公告 即将于2007年7月发布的重要补丁更新（CPU）-