如前所述,这种场景发生的风险非常小,除非在大型的、高度互连的环境中,在这些环境中,较高的SCN可能像病毒一样在服务器之间流动。但一旦服务器被感染,就无法返回。此外,如果任意增加SCN——或者出于恶意手动增加——那么48位整数的硬限制突然就不像看上去的那么大了。
社会的反应InfoWorld为此联系了许多Oracle的消息来源。一些人对这个问题缺乏熟悉;其他人则指出,Oracle的授权协议禁止他们对产品使用的任何方面发表评论。独立的Oracle用户组(IOUG),安迪花,提供这个声明记录:“这虫子SCN号显然是我们的会员会关心,需要考虑什么样的挑战,可能现在如果需要缓解策略。我相信,我们一些较大的成员可能会聚在一起讨论这个话题。”
在我们采访的Oracle专家中,Shirish Ojha是托管和私有云服务提供商Logicworks的高级Oracle DBA,他最熟悉SCN问题,包括与此问题相关的bug数量。他承认,虽然很少有Oracle环境会遇到这个问题,但其后果可能会很严重。“如果由于任何甲骨文的漏洞导致SCN的急剧增长,这个看似很高的数字被破坏的概率是极低的,”Ojha说,他已经获得了令人垂涎的甲骨文认证大师的头衔。“如果这发生在高事务和大型互联Oracle架构中,这将使所有互联Oracle数据库在短时间内无用。”
Ojha继续说:“如果发生这种情况,即使可能性很低,潜在的(财务)损失……非常高。”他说,根据定义,这个问题可能只会影响甲骨文的大客户。但是,“一旦达到了SCN限制,除了关闭所有数据库并从头重新构建数据库之外,就没有容易的方法来解决这个问题。”
安东·尼尔森,总统的C2甲骨文专家咨询和关注恶意攻击的潜在风险使用高架SCN:“在理论上,高架SCN攻击类似于DoS攻击在两个重要方面:它可以使系统瘫痪,使之机能瘫痪过很长一段时间,并且它可以通过有限的用户权限。虽然DoS可以被任何可以通过网络访问Web服务器的人攻击,但是升级的SCN需要数据库用户名和密码才能连接。
甲骨文的反应当我们第一次就SCN问题与甲骨文联系时,数据库产品管理副总裁Mark Townsend对我们发现的任意增加SCN的低权限方法做出了这样的反应:“你们把这些(问题)放在一起的方式是我们从未见过的……我们需要了解你是如何将SCN提升数万亿的。很明显,我需要一些时间让开发人员看看这些。”
经过大量的讨论和技术数据的交流,Oracle承认可以随意增加SCN。提到一种方法,Townsend说,“这是一个没有正式文档的、隐藏的参数,所以它从来没有打算让客户发现和使用它。”
然而,我们指出还有其他几种方法可以使用;我们也把这些发给了甲骨文。
Oracle针对这些安全漏洞的补救措施是在1月份刚刚发布的Oracle关键补丁更新中提供的一系列补丁。这些补丁消除了任意增加SCN的各种方法,并为Oracle数据库实现了一种新的保护方法,或者如Townsend所说的“接种”。
我们没有时间详尽地测试这些补丁,也不知道“接种”补丁到底是做什么的。事实上,没有广泛的测试,我们不能提供更多的细节,除了它声称可以阻止来自具有足够高SCN值的数据库的连接。例如,我们不知道这是否会对需要连接其他系统的受影响系统造成潜在问题。
这些补丁只针对数据库的最新版本发布:Oracle 11g 11.1.0.7、11.2.0.2和11.2.0.3,以及Oracle 10g 10.1.0.5、10.2.0.3、10.2.0.4和10.2.0.5。旧版本将继续受到影响。考虑到超过11.2.0.2.0和10.1.0.5的Oracle安装数量之多,庞大的安装基数仍然容易受到攻击。
接下来的步骤Oracle管理员的下一步是检查他们的数据库的SCN值。在此之后,热备份补丁的应用就变得至关重要,后续补丁也非常重要,它们能够通过管理命令任意增加SCN值。但是,由于补丁只针对数据库的新版本,所以对于旧的数据库可能除了升级之外没有其他选择。
同样重要的是,Oracle管理员要尽力防止任何未打补丁的Oracle数据库服务器连接到基础设施中的任何其他Oracle数据库。对于使用许多不同Oracle版本的大型部署来说,这将是一个相当大的挑战,但是为了防止虚假的SCN增长,这是必要的。看来,对一些Oracle公司来说,控制SCN值将是一项持续的工作,需要监视和仔细检查新安装的过程。
我们希望Oracle的补丁和这个问题不断增加的可见性将为Oracle商店提供他们可能面临的问题的公平警告,并为他们提供至少一些针对潜在大问题的保护。
这篇文章中,“神谕的基本缺陷暴露,最初发表于InfoWorld.com。遵循商业科技新闻的最新发展并在每天的报纸上获得重要新闻的摘要信息世界每日简报。最新商业科技资讯,在Twitter上关注InfoWorld。
阅读更多有关安全的内容在信息世界的安全频道。
这个故事,“基本甲骨文缺陷揭示”最初发表信息世界 。