这个蠕虫病毒的新变体具有对公共数据库用户账户的访问权限,但是目前仍然缺乏能够复制自身的机制,Oracle安全专家Pete Finnigan 在自己的博客中写道。
“这个新的Oracle航海家蠕虫变体是用PL/SQL编写的,并且利用了一些像我这样的人通常用来撤销公共账户访问权限的一些关键的内建的包,例如UTL_HTTP, UTL_TCP 和 UTL_SMTP,” Finnigan 说。“这是一个好的忠告,相信我!”
然而直到今天,还没有任何的Oracle用户被这种蠕虫攻击过,报告说。
航海家蠕虫的最初版本是在大概2个月前的一个完全揭露邮件列表中浮出水面的。专家们解释说,这种蠕虫使用UTL_TCP 包来扫描同一个网络中的远程数据库,然后登陆到其中的一个,检索SID和用户的几个常见的用户名和密码来尝试登陆。
位于美国马里兰州毕士达的SANS 因特网风暴中心建议我们按照以下步骤来阻止蠕虫病毒的入侵和在首次出现之后的更进一步的变异:
修改Oracle监听器的TCP/1521的默认端口(并且当你正在执行的时候,设置一个监听器密码)。
尽可能地删除或者锁定默认的用户帐号。确保所有的默认账户都没有使用默认的密码。
撤销UTL_TCP, UTL_INADDR 包的PUBLIC权限。
撤销分配给那些不需要链接到远程数据库的用户的CREATE DATABASE LINK 权限,包括CONNECT 的角色。
