TNS Listener Remote Poisoning PARTE 1

Oggi inizio a riportare i passi necessari per risolvere il problema del "TNS Listener Remote Poisoning Vulnerability " dividerò l'argomento in vari POST poichè abbastanza corposo.

Iniziamo dal principio, nell'aprile del 2008 il Sig Joxean Koret si accorse che era possibile mettersi in mezzo tra listener, client e database e riuscire ad ottenere importanti e riservate informazioni in modo fraudolento.

Da quanto sono riuscito a comprendere fino ad ora, non esiste una Patch per risolvere questo Bug e l'unico modo è quello di fare in modo che il Listener accetti solo connessioni sicure (TCPS).

Il tutto cmq è stato oggetto di un Alert su cui potrete trovare una descrizione + dettagliata del problema: Oracle Security Alert for CVE-2012-1675



Per risolvere occorre far uso delle "Advanced Security features" di Oracle che sono di solito a pagamento ma che per questo problema sia state rese free.


La procedura cambia a seconda che si tratti di una istanza singola o di un RAC come riportato :

• My Oracle Support Note 1340831.1 for Oracle Database deployments that use Oracle Real Application Clusters (RAC).
• My Oracle Support Note 1453883.1 for Oracle Database deployments that do not use RAC.

Al momento sto eseguendo delle prove sulla singola istanza, sulla quale è necessario anche applicare la seguente Patch : 12880299 poi andrà configurata la connessione TCPS.

L'installazione di questa Patch non è niente di che e leggendo il README della patch stessa si può fare rapidamente, riporto solo un BUG che ho incontrato durante gli ultimi passi e per il quale occorre modificare il file "crsconfig_lib.pm" nella home dell'utente grid gestore del servizio ASM e listenter nella mia istanza.

 
 Ecco l'errore :

[root@OracleVm05 install]# /u01/app/grid/product/11.2.0/grid/crs/install/roothas.pl -patch

Using configuration parameter file: /u01/app/grid/product/11.2.0/grid/crs/install/crsconfig_params

Undefined subroutine &main::read_file called at crspatch.pm line 86.

 

   Ecco la soluzione :  

This is because of Unpublished Bug:10011084 and Unpublished Bug:10323264. 'perl' executable not from Grid Home is called.


In sostanza si deve sostituire questa riga con l'altra:

From
     my @exp_func = qw(check_CRSConfig validate_olrconfig validateOCR
To
     my @exp_func = qw(check_CRSConfig validate_olrconfig validateOCR read_file

Fatto questo l'installazione della Patch si conclude correttamente :

[root@OracleVm05 install]# ./roothas.pl -patch

Using configuration parameter file: ./crsconfig_params

ACFS-9200: Supported

CRS-4123: Oracle High Availability Services has been started.

  

Alla prossima puntata....



Ciaoao