"坑爹"的绿盟数据库漏扫，求你专业一点

 

 

微信公众号:云库管    www.yunDBA.com

北京云库管科技有限公司 （内部培训资料） 返回上级

 

 来自：  https://www.modb.pro/db/6019

 

总结： 绿盟 扫描方式有2种方法：登录和远程，如果远程扫描结果被怀疑，那么下一步可以选择登录来确认

 

 

摘要：绿盟针对Oracle数据库的漏洞扫描太不专业了，仅以此文给所有苦逼的乙方DBA一个说明，让甲方爸爸不要迷恋漏洞评分，或者拿去怼怼”坑爹“的绿盟吧。

绿盟号称是在企业安全市场占有率最高的公司，拥有自己的产品和服务，涉猎企业IT环境中的几乎所有的服务器、软件的安全问题，这几年由于安全问题越来越被重视，这类安全公司确实也跟着火了。

 

我曾经2013年在某省移动驻场负责维护几十套Oracle数据库，每季度都会收到绿盟发来的漏洞列表，第一次发来几千项，企信部领导“高度重视”，让我连夜排查并给出解决方案。当时大多数数据库版本是11203，且安装了较新的PSU，我发现漏洞里面居然还存在2009年的CVE高危漏洞，当时就纳闷Oracle自己在2009年公布的漏洞到现在咋还没修复呢？

 

通过原厂确认，首先Oracle不认可任何第三方软件的漏洞扫描结果，其次绿盟的漏洞扫描机制简单粗暴，基本上没有可信度，后来和甲方DBA达成共识：1、安装最新的PSU，2、通过技术手段屏蔽绿盟的扫描。

 

没想到现在都2019年了，这个问题依然存在，不知道产品经理是不是去岘港度假被抓了，看看苦逼DBA们被坑害的反馈吧：

首先说说绿盟漏扫的”业余“机制吧，通过数据库版本号直接去匹配Oracle官方的CVE漏洞列表，不会检测PSU。拜托，现在大多数科技公司都在应用AI、机器学习了，您还在通过几个数字匹配表格来定义企业的信息安全分数，真是太“LOW”，哪还有安全可言。

给出了一大堆漏洞，高危的红色，让领导瑟瑟发抖，我想绿盟可能还会觉得自己很牛X吧。然而却没有给出解决方案，最多丢一个Oracle 的CVE链接给你，自己去找补丁，各个补丁之间还可能冲突，对了这里是CPU，-_-||

 

无力吐槽！

 

给乙方DBA的建议：

1、不要浪费时间尝试根据不可信的漏洞列表一一去找单个的补丁，直接安装最新的PSU即可（不过最佳实践是次新，另外12.2改为RU）。

2、觉得不好交差，或者强迫症，可以通过防火墙、端口、数据库IP限制等方式限制绿盟机器的访问；

3、把“皮球”抛给现场的绿盟GG，让他们去跟甲方解释，承认这是绿盟漏扫软件的缺陷；

4、使用专业的数据库巡检平台检查数据库，从数据库的角度去排查安全问题。

给绿盟的建议：

1、希望绿盟专业一点，牢记“专功术业”的愿景，真正做到“成就所托”，不要学早期的360通过报大量高危漏洞吓唬用户来体现自身卑微的价值；

2、学习了解Oracle的补丁策略，弄清楚One of Patch、CPU、PSU、RU的区别以及大版本小版本的关系，分别修复了哪些CVE漏洞，如果真的存在漏洞，那么给出专家的方案，不要给个CVE链接草草了事，我相信这些需求相对来说比较容易，如果需要我们可以免费支持；

3、多听听业界的声音和用户的反馈，快速迭代改进产品，不然没有核心竞争力，分分钟被替代被超越。

最后还是诚恳的呼吁绿盟团队，尽快把自己产品的缺陷修复，完善各项功能，真正为国内企业信息安全建设贡献更多的力量，“专功术业，成就所托”。

 

 

 

 

 

绿盟 扫描方式有2种方法：登录和远程，如果远程扫描结果被怀疑，那么下一步可以选择登录来确认