LSNR_DIRECT_ADMIN_NAME
POLICY
Administration directe du processus d'écoute
LSNR_DIRECT_ADMIN_DESC
POLICY
Vérifie qu'aucune modification de la configuration du processus d'écoute n'est autorisée pendant l'exécution
LSNR_DIRECT_ADMIN_IMPACT
POLICY
Un pirate ayant accès à un processus d'écoute en cours d'exécution peut effectuer des modifications pendant cette exécution (par exemple, des opérations SET) via le programme lsnrctl.
LSNR_DIRECT_ADMIN_RECOMM
POLICY
L'administration directe de tous les processus d'écoute doit être désactivée. Paramétrez ADMIN_RESTRICTIONS_listener_name sur ON dans le fichier listener.ora.
LSNR_HOST_NAME_NAME
POLICY
Utilisation d'un nom d'hôte dans listener.ora
LSNR_HOST_NAME_DESC
POLICY
Vérifie que l'hôte du processus d'écoute est indiqué par son adresse IP, et non par son nom d'hôte, dans le fichier listener.ora
LSNR_HOST_NAME_IMPACT
POLICY
Un utilisateur peut tirer parti d'un serveur DNS non sécurisé pour monter une attaque par usurpation d'adresse IP. En cas d'échec du serveur de noms, le processus d'écoute ne parvient pas à résoudre l'hôte.
LSNR_HOST_NAME_RECOMM
POLICY
Vous devez indiquer l'hôte via son adresse IP dans le fichier listener.ora.
LSNR_LOG_FILE_OWN_NAME
POLICY
Propriétaire du fichier journal du processus d'écoute
LSNR_LOG_FILE_OWN_DESC
POLICY
Vérifie que le fichier journal du processus d'écoute appartient au propriétaire du logiciel Oracle
LSNR_LOG_FILE_OWN_IMPACT
POLICY
Les informations contenues dans le fichier journal peuvent divulguer des détails de connexion réseau et de base de données importants. Si un fichier journal n'appartenant pas au propriétaire du logiciel Oracle est utilisé, ces données deviennent totalement publiques, ce qui pose des problèmes de sécurité.
LSNR_LOG_FILE_OWN_RECOMM
POLICY
Le fichier journal du processus d'écoute doit appartenir au propriétaire du logiciel Oracle.
ALLOWED_LOGON_VERSION_NAME
POLICY
Version autorisée pour la connexion
ALLOWED_LOGON_VERSION_DESC
POLICY
Vérifie que le serveur n'autorise la connexion qu'à partir de clients de version identique ou supérieure
ALLOWED_LOGON_VERSION_IMPACT
POLICY
En définissant le paramètre SQLNET.ALLOWED_LOGON_VERSION du fichier sqlnet.ora sur une version inférieure à celle du serveur, vous obligez ce dernier à employer un protocole d'authentification moins sécurisé.
ALLOWED_LOGON_VERSION_RECOM
POLICY
Définissez le paramètre SQLNET.ALLOWED_LOGON_VERSION du fichier sqlnet.ora sur la version principale du serveur. Si cette valeur désigne des versions plus anciennes, les anciennes vulnérabilités éventuelles des protocoles d'authentification peuvent réapparaître.
CLIENT_LOG_DIR_PERM_NAME
POLICY
Droit d'accès au répertoire de journalisation du client Oracle Net
CLIENT_LOG_DIR_PERM_NAME_NT
POLICY
Droit d'accès au répertoire de journalisation du client Oracle Net (Windows)
CLIENT_LOG_DIR_PERM_DESC
POLICY
Vérifie que le répertoire de journalisation du client est un répertoire valide appartenant à l'ensemble Oracle, sans aucun droit d'accès octroyé à Public
CLIENT_LOG_DIR_PERM_IMPACT
POLICY
Les fichiers journaux fournissent des informations contenues dans une pile d'erreurs. Ce type de pile fait référence aux informations générées par chaque couche d'une pile de communication Oracle en cas d'erreur réseau. Les informations des fichiers journaux peuvent divulguer des détails de connexion réseau et de base de données importants. Si l'accès au répertoire de journalisation est autorisé, les fichiers journaux deviennent totalement publics.
CLIENT_LOG_DIR_PERM_RECOMM
POLICY
Le répertoire de journalisation du client doit être un répertoire valide appartenant à l'ensemble Oracle, sans aucun droit d'accès octroyé à Public.
CLIENT_LOG_DIR_OWN_NAME
POLICY
Propriétaire du répertoire de journalisation du client Oracle Net
CLIENT_LOG_DIR_OWN_DESC
POLICY
Vérifie que le répertoire de journalisation du client est un répertoire valide appartenant à l'ensemble Oracle
CLIENT_LOG_DIR_OWN_IMPACT
POLICY
Les fichiers journaux fournissent des informations contenues dans une pile d'erreurs. Ce type de pile fait référence aux informations générées par chaque couche d'une pile de communication Oracle en cas d'erreur réseau. Les informations des fichiers journaux peuvent divulguer des détails de connexion réseau et de base de données importants. Si l'accès au répertoire de journalisation est autorisé, les fichiers journaux deviennent totalement publics.
CLIENT_LOG_DIR_OWN_RECOMM
POLICY
Le répertoire de journalisation du client doit être un répertoire valide appartenant à l'ensemble Oracle.
SERV_LOG_DIR_PERM_NAME
POLICY
Droit d'accès au répertoire de journalisation du serveur Oracle Net
SERV_LOG_DIR_PERM_NAME_NT
POLICY
Droit d'accès au répertoire de journalisation du serveur Oracle Net (Windows)
SERV_LOG_DIR_PERM_DESC
POLICY
Vérifie que le répertoire de journalisation du serveur est un répertoire valide appartenant à l'ensemble Oracle, sans aucun droit d'accès octroyé à Public
SERV_LOG_DIR_PERM_IMPACT
POLICY
Les fichiers journaux fournissent des informations contenues dans une pile d'erreurs. Ce type de pile fait référence aux informations générées par chaque couche d'une pile de communication Oracle en cas d'erreur réseau. Les informations des fichiers journaux peuvent divulguer des détails de connexion réseau et de base de données importants. Si l'accès au répertoire de journalisation est autorisé, les fichiers journaux deviennent totalement publics.
SERV_LOG_DIR_PERM_RECOMM
POLICY
Le répertoire de journalisation du serveur est un répertoire valide appartenant à l'ensemble Oracle, sans aucun droit d'accès octroyé à Public.
SERV_LOG_DIR_OWN_NAME
POLICY
Propriétaire du répertoire de journalisation du serveur Oracle Net
SERV_LOG_DIR_OWN_DESC
POLICY
Vérifie que le répertoire de journalisation du serveur est un répertoire valide appartenant à l'ensemble Oracle
SERV_LOG_DIR_OWN_IMPACT
POLICY
Les fichiers journaux fournissent des informations contenues dans une pile d'erreurs. Ce type de pile fait référence aux informations générées par chaque couche d'une pile de communication Oracle en cas d'erreur réseau. Les informations des fichiers journaux peuvent divulguer des détails de connexion réseau et de base de données importants. Si l'accès au répertoire de journalisation est autorisé, les fichiers journaux deviennent totalement publics.
SERV_LOG_DIR_OWN_RECOMM
POLICY
Le répertoire de journalisation du serveur doit être un répertoire valide appartenant à l'ensemble Oracle
CLIENT_TRC_DIR_PERM_NAME
POLICY
Droit d'accès au répertoire de trace du client Oracle Net
CLIENT_TRC_DIR_PERM_NAME_NT
POLICY
Droit d'accès au répertoire de trace du client Oracle Net (Windows)
CLIENT_TRC_DIR_PERM_DESC
POLICY
Vérifie que le répertoire de trace du client est un répertoire valide appartenant à l'ensemble Oracle, sans aucun droit d'accès octroyé à Public
CLIENT_TRC_DIR_PERM_IMPACT
POLICY
La fonction de trace génère une séquence détaillée d'instructions décrivant les événements réseau au fur et à mesure de leur exécution. Enregistrer la trace d'une opération vous permet d'obtenir davantage d'informations sur les opérations internes des composants Oracle Net Services que ce que fournit un fichier journal. Les informations de ce fichier peuvent divulguer des détails de connexion réseau et de base de données importants. Si l'accès au répertoire de journalisation est autorisé, les fichiers journaux deviennent totalement publics.
CLIENT_TRC_DIR_PERM_RECOMM
POLICY
Le répertoire de trace du client doit être un répertoire valide appartenant à l'ensemble Oracle, sans aucun droit d'accès octroyé à Public.
CLIENT_TRC_DIR_OWN_NAME
POLICY
Propriétaire du répertoire de trace du client Oracle Net
CLIENT_TRC_DIR_OWN_DESC
POLICY
Vérifie que le répertoire de trace du client est un répertoire valide appartenant à l'ensemble Oracle
CLIENT_TRC_DIR_OWN_IMPACT
POLICY
La fonction de trace génère une séquence détaillée d'instructions décrivant les événements réseau au fur et à mesure de leur exécution. Enregistrer la trace d'une opération vous permet d'obtenir davantage d'informations sur les opérations internes des composants Oracle Net Services que ce que fournit un fichier journal. Les informations de ce fichier peuvent divulguer des détails de connexion réseau et de base de données importants. Si l'accès au répertoire de journalisation est autorisé, les fichiers journaux deviennent totalement publics.
CLIENT_TRC_DIR_OWN_RECOMM
POLICY
Le répertoire de trace du client doit être un répertoire valide appartenant à l'ensemble Oracle.
SERV_TRC_DIR_PERM_NAME
POLICY
Droit d'accès au répertoire de trace du serveur Oracle Net
SERV_TRC_DIR_PERM_NAME_NT
POLICY
Droit d'accès au répertoire de trace du serveur Oracle Net (Windows)
SERV_TRC_DIR_PERM_DESC
POLICY
Vérifie que le répertoire de trace du serveur est un répertoire valide appartenant à l'ensemble Oracle, sans aucun droit d'accès octroyé à Public
SERV_TRC_DIR_PERM_IMPACT
POLICY
La fonction de trace génère une séquence détaillée d'instructions décrivant les événements réseau au fur et à mesure de leur exécution. Enregistrer la trace d'une opération vous permet d'obtenir davantage d'informations sur les opérations internes des composants Oracle Net Services que ce que fournit un fichier journal. Les informations de ce fichier peuvent divulguer des détails de connexion réseau et de base de données importants. Si l'accès au répertoire de journalisation est autorisé, les fichiers journaux deviennent totalement publics.
SERV_TRC_DIR_PERM_RECOMM
POLICY
Le répertoire de trace du serveur doit être un répertoire valide appartenant à l'ensemble Oracle, sans aucun droit d'accès octroyé à Public.
SERV_TRC_DIR_OWN_NAME
POLICY
Propriétaire du répertoire de trace du serveur Oracle Net
SERV_TRC_DIR_OWN_DESC
POLICY
Vérifie que le répertoire de trace du serveur est un répertoire valide appartenant à l'ensemble Oracle
SERV_TRC_DIR_OWN_IMPACT
POLICY
La fonction de trace génère une séquence détaillée d'instructions décrivant les événements réseau au fur et à mesure de leur exécution. Enregistrer la trace d'une opération vous permet d'obtenir davantage d'informations sur les opérations internes des composants Oracle Net Services que ce que fournit un fichier journal. Les informations de ce fichier peuvent divulguer des détails de connexion réseau et de base de données importants. Si l'accès au répertoire de journalisation est autorisé, les fichiers journaux deviennent totalement publics.
SERV_TRC_DIR_OWN_RECOMM
POLICY
Le répertoire de trace du serveur doit être un répertoire valide appartenant à l'ensemble Oracle.
SQLNET_PERM_NAME
POLICY
Restreindre les droits d'accès à sqlnet.ora
SQLNET_PERM_NAME_NT
POLICY
Restreindre les droits d'accès à sqlnet.ora (Windows)
SQLNET_PERM_DESC
POLICY
Vérifie que le fichier sqlnet.ora n'est pas accessible pour Public
SQLNET_PERM_IMPACT
POLICY
Si Public dispose de droits d'accès en lecture sur le fichier sqlnet.ora, un utilisateur malveillant peut tenter de lire ce fichier, ce qui peut entraîner la divulgation d'informations confidentielles. Par exemple, les informations de journalisation et de destination de trace du client et du serveur.
SQLNET_PERM_RECOMM
POLICY
Aucun droit d'accès au fichier sqlnet.ora ne doit être octroyé à Public.
LSNR_LOG_FILE_PERM_NAME
POLICY
Droit d'accès au fichier journal du processus d'écoute
LSNR_LOG_FILE_PERM_NAME_NT
POLICY
Droit d'accès au fichier journal du processus d'écoute (Windows)
LSNR_LOG_FILE_PERM_DESC
POLICY
Vérifie que le fichier journal du processus d'écoute n'est accessible ni en lecture ni en écriture pour Public
LSNR_LOG_FILE_PERM_IMPACT
POLICY
Les informations du fichier journal peuvent divulguer des détails de connexion réseau et de base de données importants. Si l'accès à ce fichier est autorisé, ces données deviennent totalement publiques, ce qui pose des problèmes de sécurité.
LSNR_LOG_FILE_PERM_RECOMM
POLICY
Le fichier journal du processus d'écoute ne doit pas autoriser l'accès en lecture/écriture de Public. Restreignez le droit d'accès à ce fichier pour le limiter au propriétaire du logiciel Oracle et au groupe DBA.
LSNR_TRACE_DIR_PERM_NAME
POLICY
Droit d'accès au répertoire de trace du processus d'écoute
LSNR_TRACE_DIR_PERM_NAME_NT
POLICY
Droit d'accès au répertoire de trace du processus d'écoute (Windows)
LSNR_TRACE_DIR_PERM_DESC
POLICY
Vérifie que le répertoire de trace du processus d'écoute n'offre aucun droit d'accès en lecture/écriture pour Public
LSNR_TRACE_DIR_PERM_IMPACT
POLICY
Si l'accès au répertoire de trace est autorisé, ces données deviennent totalement publiques, ce qui pose des problèmes de sécurité.
LSNR_TRACE_DIR_PERM_RECOMM
POLICY
Le répertoire de trace du processus d'écoute ne doit pas être accessible en lecture/écriture pour Public. Restreignez le droit d'accès à ce répertoire pour le limiter au propriétaire du logiciel Oracle et au groupe DBA.
LSNR_TRACE_DIR_OWN_NAME
POLICY
Propriétaire du répertoire de trace du processus d'écoute
LSNR_TRACE_DIR_OWN_DESC
POLICY
Vérifie que le répertoire de trace du processus d'écoute est un répertoire valide appartenant au propriétaire du logiciel Oracle
LSNR_TRACE_DIR_OWN_IMPACT
POLICY
Si un répertoire de trace n'appartenant pas au propriétaire du logiciel Oracle est utilisé, les fichiers trace deviennent totalement publics, ce qui pose des problèmes de sécurité.
LSNR_TRACE_DIR_OWN_RECOMM
POLICY
Le répertoire de trace du processus d'écoute doit appartenir au propriétaire du logiciel Oracle.
LSNR_TRACE_FILE_OWN_NAME
POLICY
Propriétaire du fichier trace du processus d'écoute
LSNR_TRACE_FILE_OWN_DESC
POLICY
Vérifie que le répertoire de trace du processus d'écoute est un répertoire valide appartenant au propriétaire du logiciel Oracle
LSNR_TRACE_FILE_OWN_IMPACT
POLICY
Si un répertoire de trace n'appartenant pas au propriétaire du logiciel Oracle est utilisé, les fichiers trace deviennent totalement publics, ce qui pose des problèmes de sécurité.
LSNR_TRACE_FILE_OWN_RECOMM
POLICY
Le répertoire de trace du processus d'écoute doit appartenir au propriétaire du logiciel Oracle.
LSNR_TRACE_FILE_PERM_NAME
POLICY
Droit d'accès au fichier trace du processus d'écoute
LSNR_TRACE_FILE_PERM_NAME_NT
POLICY
Droit d'accès au fichier trace du processus d'écoute (Windows)
LSNR_TRACE_FILE_PERM_DESC
POLICY
Vérifie que le fichier trace du processus d'écoute n'est pas accessible pour Public
LSNR_TRACE_FILE_PERM_IMPACT
POLICY
Si l'accès aux fichiers trace est autorisé, ils deviennent totalement publics, ce qui pose des problèmes de sécurité.
LSNR_TRACE_FILE_PERM_RECOMM
POLICY
Le fichier trace du processus d'écoute ne doit pas être accessible en lecture/écriture pour Public. Restreignez le droit d'accès à ce fichier pour le limiter au propriétaire du logiciel Oracle et au groupe DBA.
LSNR_PASSWD_NAME
POLICY
Mot de passe du processus d'écoute
LSNR_PASSWD_DESC
POLICY
Vérifie que l'accès au processus d'écoute est protégé par mot de passe
LSNR_PASSWD_IMPACT
POLICY
Sans protection par mot de passe, un utilisateur peut accéder au processus d'écoute et l'arrêter. Il peut également définir un mot de passe et empêcher les autres utilisateurs de gérer ce processus d'écoute.
LSNR_PASSWD_RECOMM
POLICY
Tous les processus d'écoute doivent être protégés par mot de passe à l'aide de la commande CHANGE_PASSWORD.
LSNR_LOG_STATUS_NAME
POLICY
Statut de journalisation du processus d'écoute
LSNR_LOG_STATUS_DESC
POLICY
Vérifie que la journalisation du processus d'écoute est activée.
LSNR_LOG_STATUS_IMPACT
POLICY
Sans journalisation du processus d'écoute, les attaques lancées sur ce processus peuvent passer inaperçues.
LSNR_LOG_STATUS_RECOMM
POLICY
Activez la journalisation du processus d'écoute en définissant le paramètre LOG_STATUS sur ON.
LSNR_DFLT_NAME_NAME
POLICY
Nom par défaut du processus d'écoute
LSNR_DFLT_NAME_DESC
POLICY
Vérifie que le nom par défaut du processus d'écoute n'est pas utilisé
LSNR_DFLT_NAME_IMPACT
POLICY
Si un processus d'écoute portant le nom par défaut est utilisé, le risque d'accès non autorisé ou d'attaque par déni de service augmente.
LSNR_DFLT_NAME_RECOM
POLICY
Evitez d'utiliser un processus d'écoute portant le nom par défaut (LISTENER).
LSNR_ORA_PERM_NAME
POLICY
Droit d'accès au fichier listener.ora
LSNR_ORA_PERM_NAME_NT
POLICY
Droit d'accès au fichier listener.ora (Windows)
LSNR_ORA_PERM_DESC
POLICY
Vérifie que les droits d'accès au fichier listener.ora sont limités au propriétaire du logiciel Oracle
LSNR_ORA_PERM_IMPACT
POLICY
Si Public dispose d'un accès en lecture sur le fichier listener.ora, les mots de passe peuvent être extraits de ce dernier. Cela risque également d'entraîner la divulgation de détails de la configuration du processus d'écoute, de la base de données et de l'application. En outre, si Public possède des droits d'accès en écriture, un utilisateur malveillant peut enlever n'importe quel mot de passe défini sur le processus d'écoute.
LSNR_ORA_PERM_RECOMM
POLICY
Les droits d'accès au fichier listener.ora doivent être limités au propriétaire de l'installation de logiciel Oracle et au groupe DBA.
Sqlnetora_Inbound_Connect_Timeout_NAME
POLICY
Temporisation de la connexion entrante Oracle Net
Sqlnetora_Inbound_Connect_Timeout_IMPACT
POLICY
Si ce paramètre n'est pas utilisé ou s'il est défini sur une valeur supérieure, une connexion client au serveur de base de données peut rester ouverte indéfiniment ou pendant la durée indiquée, sans authentification. Cela peut donner lieu à une attaque par déni de service, qui permet à des utilisateurs malveillants de submerger les serveurs de base de données de demandes de connexion qui consomment toutes les ressources.
Sqlnetora_Inbound_Connect_Timeout_DESC
POLICY
Vérifie que toutes les connexions entrantes à Oracle Net non terminées ont une durée de vie limitée
Sqlnetora_Inbound_Connect_Timeout_RECOMM
POLICY
Réduisez la valeur du paramètre SQLNET.INBOUND_CONNECT_TIMEOUT autant que possible dans sqlnet.ora, tout en vous assurant qu'elle reste supérieure à celle du paramètre INBOUND_CONNECT_TIMEOUT_listener_name dans le fichier listener.ora.
Lsnrora_Inbound_Connect_Timeout_NAME
POLICY
Temporisation de la connexion entrante au processus d'écoute
Lsnrora_Inbound_Connect_Timeout_IMPACT
POLICY
Cette limite protège le processus d'écoute contre toute consommation et conservation abusives de ressources pour les demandes de connexion client non traitées. Un utilisateur malveillant pourrait s'en servir pour submerger le processus d'écoute de demandes, provoquant un déni de service pour les utilisateurs autorisés.
Lsnrora_Inbound_Connect_Timeout_DESC
POLICY
Vérifie que toutes les connexions entrantes au processus d'écoute Oracle non terminées ont une durée de vie limitée
Lsnrora_Inbound_Connect_Timeout_RECOMM
POLICY
Réduisez la valeur du paramètre INBOUND_CONNECT_TIMEOUT_listener_name autant que possible dans listener.ora, en vous assurant qu'elle est inférieure à celle du paramètre SQLNET.INBOUND_CONNECT_TIMEOUT dans le fichier sqlnet.ora.
Ssl_Server_DN_Match_NAME
POLICY
SSL_SERVER_DN_MATCH Oracle Net
Ssl_Server_DN_Match_IMPACT
POLICY
Si le paramètre ssl_server_dn_match est désactivé, SSL procède à la vérification mais autorise la connexion, même s'il n'existe aucune correspondance. Le fait de ne pas imposer de correspondance peut permettre une usurpation d'identité du serveur.
Ssl_Server_DN_Match_DESC
POLICY
Vérifie que ssl_server_dn_match est activé dans le fichier sqlnet.ora. SSL s'assure à son tour que le certificat provient bien du serveur
Ssl_Server_DN_Match_RECOMM
POLICY
Activez le paramètre ssl_server_dn_match dans le fichier sqlnet.ora.