已打好补丁,为何绿盟漏洞检测还提示有漏洞

 

微信公众号:云库管    www.yunDBA.com

北京云库管科技有限公司 (内部培训资料) 返回上级

 

目录:

一、正确的使用下面的方法做检测:... 1

1.检测方法不准确:... 2

2.检测软件没有和中心总部做同步更新:... 2

3.打补丁集后检测,必须用登录数据库扫描(有时也称:数据库扫描)... 2

二、正确理解扫描软件对已打补丁而仍报漏洞的原因... 5

三、验证漏洞CVE历史补丁集的修复时间(补丁集是累计的,既新的包含历史的)... 5

 

一、正确的使用下面的方法做检测:

1.检测方法不准确:

打补丁集更新是更新数据库版本的第五位( 11.2.0.4.19),而有些检测检测软件通常是检测前四位,导致补丁没有被检测软件识别。

解决办法:让检测软件商提供高版本的检测软件或更新。

2.检测软件没有和中心总部做同步更新:

解决办法:让检测软件商从中心总部同步最新的补丁信息。

 

3.打补丁集后检测,必须用登录数据库扫描(有时也称:数据库扫描)

总结: 绿盟 扫描方式有2种方法:

方法1.登录数据库扫描(有时也称:数据库扫描, 即连接数据库会话session扫描)

方法2.远程扫描(有时也称:系统漏洞检查, 即在主机的操作系统上扫描软件安装)

如果方法2.远程扫描结果被怀疑,那么下一步可以选择方法1. 登录数据库扫描来确认

 

例如绿盟检测的注意2点要求:

1.     通过数据库登录检测(口令登录)进入

 如果通过os扫描:是原理性补丁检测,它的原理是根据大版本号(版本的前4位,如11.2.0.4)识别版本漏洞,这种检测结果是打补丁前后,结果相同。

 只有数据库登录进入扫描才是真实的,可以检测到新打的补丁,既检测到第五位( 11.2.0.4.19)

绿盟的工作人员这样说:oracle漏洞的扫描必须要dba帐号登录(确保扫描器拿到足够的权限)扫描结果才准确。

SQL登录检测:

1.如果不知道sys密码,用命令重置sys用户密码

cmd

sqlplus "/ as sysdba"

alter user sys identified by sysoracle;

exit

2.异机连接方法

sys/sysoracle@xx.xxx.xxx.xxx:1521  as sysdba

用户名: sys

密码:  sysoracle

服务器IP地址: xxx.xxx.xxx.xxx

端口号:  1521

角色: sysdba

解释一下

dba帐号登录,通常是用户syssystem用户的口令,连接数据库需要有数据库(IP地址、监听端口号默认1521、数据库服务名默认数据库名称);

补丁可以打最新的补丁集 DB PSUOJVM PSU),因为补丁集是累积的,打最新即;

其它漏洞(如密码有效期、密码强度、失败锁帐号、数据库名称用ORCL-默认值-容易被猜测到)需要评估对应用的影响再实施。

2. 绿盟插件更新到最新版本。

  目的: 使软件和总部系统更新同步补丁链关系,从而能识别到新的补丁代码。

 

二、正确理解扫描软件对已打补丁而仍报漏洞的原因

特别是ORACLE11g for win64环境下,漏洞扫描软件可能会无法检测到已打的补丁,而仍然报大量漏洞。

网文阐述

Oracle很不专业的“漏洞扫描软件”,是否吓到你了呢

   坑爹的绿盟数据库漏扫,求你专业一点

 

三、验证漏洞CVE在历史补丁集的修复时间(补丁集是累计的,既新的包含历史的)

进入验证漏洞查询页面