ORACLE数据库历史回顾:版本演变及影响 (oracle数据库版本历史)
随着信息技术的发展,数据库成为了管理和存储企业数据的核心工具。ORACLE数据库是全球更大的企业级关系型数据库管理系统之一。从ORACLE公司1980年推出的之一个版本开始,ORACLE数据库经历了多次演进,版本不断升级,功能不断完善。本篇文章将对ORACLE数据库的发展历程及其在行业中的影响进行回顾。
一、ORACLE数据库的起源
1977年,ORACLE公司的创始人拉里·埃里森(Larry Ellison)和同事开发了一个名为“ORACLE”的原型系统,是为了满足华尔街金融客户的系统需求的,名称源自美国中央情报局(CIA)开发的 ORACLE 项目。1980年,ORACLE公司发布了其之一个商业化版本,即ORACLE Version 2,支持一个新的 SQL 解释器和并发底层架构(这种并发实现成为后来所有大型事务性系统的标配)。不同于其他DBMS,它可以在多种平台上运行,较为灵活。
1983年,ORACLE公司发布了第三版本,加入聚合和分组功能,可以更方便地计算数据的总体趋势。此外还加入了ROWID,并发控制精度得到了提高。与此同时,他们也启动了之一个开发应用程序的平台,能够在一种程序设计语言中定义用于创建界面、执行数据库操作以及任务安排的代码。
二、ORACLE数据库新特性的引入
1985年,ORACLE公司推出ORACLE Version 5,在此版本中,ORACLE数据库引入了一些新特性:后面的实际都在 5 版本的框架内实现。包括索引聚簇和哈希集群,用于改善查询性能和加速数据访问。此外,还引入了PL/SQL,一个像SQL语言一样的编程语言,为开发人员提供了编写和执行过程的能力。这为数据库管理员和开发人员提供了一种代码执行和扩展功能的方式,以及一个标准化的开发框架。
1991年,ORACLE公司推出的ORACLE Version 7,引入了很多技术创新,支持横向的表格分区和索引组织表等。其最显著的新特性是多版本并发控制(MVCC),它确保了多个交易同时进行并避免了死锁。
1995年,ORACLE公司推出了ORACLE Version 7.3,新增JAVA虚拟机、RAP识别和ORACLE RDBMS内置Web访问功能都大为改进了ORACLE的应用范围和执行能力。
三、ORACLE数据库的跨平台能力
2023年,ORACLE公司推出了ORACLE Version 9i,引入了I带有分布技术,能够跨多个服务器运行,支持透明分布和事务处理,是其首次正式推出能够应对分布式计算的数据库管理系统。此外,它还加入了XPath以及XML DB特性,大大增强了对XML类型的数据支持。另外,它还加强了高可用性特性,以及简化了备份恢复和在线备份等。
2023年,ORACLE公司推出ORACLE Version 10g,g代表网络计算格(Grid),是ORACLE数据库发展史上的一个里程碑。10g增强了高可用性和性能,支持更多SQL标准和大量数据类型。它提供了基于网格计算的并行计算和集群技术,支持多库集群、磁盘组和服务组。可以在不同计算机上部署软件,大大提高了系统性能和可靠性。
2023年,ORACLE公司推出了ORACLE Version 11g,引入了新的数据压缩技术和安全特性,提供新的分析和数据挖掘技术,包括实时数据仓库和单击查询。相比10g,11g对可靠性、安全性、高可用性和性能方面进一步提高,支持在线变更数据类型和分区,大大提高了数据库的功能和扩展性。
2023年,ORACLE公司推出了ORACLE Version 12c,c代表云计算(Cloud),也是ORACLE Database的全面云计算版。它提供了新的多租户架构和支持更多数据库安全特性,包括数据脱敏和审计,大大强化了安全防护能力。此外,它还加强了数据库资源管理和在线扩容能力,支持更多的云计算和大数据场景。
四、ORACLE数据库的影响及未来
作为管理和存储企业级数据的之一选择之一,ORACLE数据库早已成为许多行业和领域技术标准。可以说,ORACLE的成功是ORACLE在技术上的不断革新和推出全球性领先产品的结果。其在数据库管理系统领域持续领先,发挥着至关重要的作用。ORACLE公司回报也非常显着,2023年,ORACLE公司的全球营收超过374亿美元,稳居企业级数据库管理系统领域市场首位。
随着技术快速发展和数据需求的不断增加,ORACLE数据库仍在不断升级,具有更多表现强劲、创新和快速应对未来需求的能力。ORACLE公司未来将借助、云计算、物联网和大数据分析技术,继续推动ORACLE数据库的不断发展,更好地服务于行业和用户。
相关问题拓展阅读:
Oracle数据库的介绍
ORACLE数据库系统是美国ORACLE公司(甲骨文)提供的以分布式数据库为核心的一组软件产品,是目前更流行的客户/服务器(CLIENT/SERVER)或B/S体系结构的数据库之一。比如SilverStream就是基于数据库的一种中间件。ORACLE数据库是目前世界上使用最为广泛的数据库管理系统,作为一个通用的数据库系统,它具有完整的数据管理功隐纯能;作为一个关系数据库,它是一个完备关系的产品;作为分布式数据库它实现了分布式处理功能。但它灶桥咐的所有知识,只要在一种机型上学习了ORACLE知识,便能在各种类型的机器上使用它。
Oracle数据库最新版本为Oracle Database 12c。Oracle数据库12c 引入了一个新的多承租方架构,使用该架构可轻松部署和管理消兆数据库云。此外,一些创新特性可更大限度地提高资源使用率和灵活性,如Oracle Multitenant可快速整合多个数据库,而Automatic Data Optimization和Heat Map能以更高的密度压缩数据和对数据分层。这些独一无二的技术进步再加上在可用性、安全性和大数据支持方面的主要增强,使得Oracle数据库12c 成为私有云和公有云部署的理想平台。
Oracle数据库基本知识
Oracle数据库基本知识
Oracle Database,又名OracleRDBMS,或简称Oracle。是甲骨文公司的一款笑液关系数据库管理系统。本文为大家分享的是Oracle数据库的基本知识,希望对大家有所帮助!
它是在数据库领域一直处于领先地位的产品。可以说Oracle数据库系统是目前世界上流行的关系数据库管理系统,系统可移植性好、使用方便、功能强,适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的适应高吞吐量的数据库解决方案。
介绍
ORACLE数据库系统是美国ORACLE公司(甲骨文)提供的以分布式数据库为核心的一组软件产品,是目前更流行的客户/服务器(CLIENT/SERVER)或B/S体系结构的数据库之一。比如SilverStream就是基于数据库的一种中间件。ORACLE数据库是目前世界上使用最为广泛的数据库管理系统,作为一个通用的数据库系统,它具有完整的数据管理功能;作为一个关系数据库,它是一个完备关系的产品;作为分布式数据库它实现了分布式处理功能。但它的所有知识,只要在一种机型上学习了ORACLE知识,便能在各种类型的机器上使用它。
Oracle数据库最新版本为OracleDatabase 12c。Oracle数据库12c引入了一个新的多承租方架构,使用该架构可轻松部署和管理数据库云。此外,一些创新特性可更大限度地提高资源使用率和灵活性,如Oracle Multitenant可快速整合多个数据库,而Automatic Data Optimization和Heat Map能以更高的密度压缩数据和对数据分层。这些独一无二的技术进步再加上在可用性、安全性和大数据支持方面的主要增强,使得Oracle数据库12c 成为私有云和公有云部署的理想平台。
就业前景
从就业与择业的角度来讲,计算机相关专业的大学生从事oracle方面的技术是职业发展中的更佳选择。
其一、就业面广:ORACLE帮助拓展技术人员择业的广度,全球前100强企业99家都在使用ORACLE相关技术,中国机构,大中型企事业单位都能有ORACLE技术的工程师岗位,大学生在校期间兴趣广泛,每个人兴趣特长各异,不论你想进入金融行业还是电信行业或者机构,ORACLE都能够在你的职业发展中给你最强有力的支撑,成为你最贴身的金饭碗。
其二、技术层次深:如果期望进入IT服务或者产品公司,Oracle技术能够帮助提高就业的深度。Oracle技术已经成为全球每个IT公司必选的软件技术之一,熟练掌握Oracle技术能够为从业人员带来技术应用上的优势,同时为IT技术的深入应用起到非常关键的作用。掌握 Oracle技术,是IT从业人员了解全面信息化整体解决方案的基础。
其三、职业方向多:Oracle数据库管理方向、Oracle开发及系统架构方向、Oracle数据建模数据仓库等方向。
Oracle数据库漏洞分析:无需用户名和密码进入你的数据库
一般性的数据库漏洞,都是在成功连接或登录数据库后实现入侵;本文介绍两个在2023年暴露的Oracle漏洞,通过这两种漏洞的结合,可以在不掌握用户名/密码的情况下入侵Oracle,从嫌陪而完成对数据的窃取或者破坏。这两个漏洞就是CVE和CVE。
引言
国内外很多重碰者物要的系统都采用Oracle作为数据存储的数据库;在Oracle中存储着企业或大量敏感的信息,在金钱或政治的诱导下,内外部黑客会想法利用管理、网络、主机或数据库的自身漏洞尝试入侵到数据库中,以达到自身的目的。
本文的作者通过对Oracle俩种漏洞的组合研究,设计了一套在不掌握用户名/密码的方式入侵到Oracle中;这种方法,比传统的需要登录到数据库中的入侵方法,具有更大的安全隐患和破坏性。
本文希望通过对这两个漏洞和攻击方法的介绍,能够引起相关人员的重视,完善对数据库安全的措施。
1、概要介绍
本文提供的方法是基于漏洞CVE和CVE对oracle数据库的攻击测试的方法。
CVE漏洞是Oracle允许攻击者在不提供用户名/密码的’情况下,向远程“TNS Listener”组件处理的数据投毒的漏洞。攻击者可利用此漏洞将数据库服务器的合法“TNS Listener”组件中的数据转向到攻击者控制的系统,导致控制远程组件的数据库实例,造成组件和合法数据库之间的中间人攻击、会话劫持或拒绝服务攻击。
CVE漏洞是Oracle Database 10g/11g身份验证协议实现中存在一个设计缺陷,攻击者无需认证即可远程获取数据库用户密码哈希相关数据,从而可以离线暴力破解用户密码,进一步控制数据库系统。
我们通过如下的步骤和过程可以实现对Oracle的入侵:
(1)利用CVE进行TNS劫持,在监听下利用远程注册,注册同名数据库实例;
(2)新登陆的用户,在TNS的负载均衡策略下,有可能流量登录到伪造的监听服务上;
(3)该监听服务对用户的登陆过程进行监控,并将相关数据流量转发到真实的数据库上;
(4)利用CVE获得通讯过程中的认证相关信息;
(5)对认证相关信息进行离线的暴力破解,获得登陆的密码;
(6)试用破解的用户名/密码登陆Oracle,完成对Oracle中数据的访问;
2、通过CVE进行TNS劫持
该漏洞存在于Oracle的所有版本,并且Oracle至今仅是发布了警告性通知,并未提供解决方案。
要想利用CVE漏洞做TNS劫持,首先需要了解TNS机制。如下图所示oracle 通过在本地解析网络服务名到目标主机IP地址,服务端口号,目标数据库名,把这些信息发送到oracle服务器端监听程序,最后再由监听程序递送DBMS。
其中关键点在于监听会按照目标数据库名递送到名称正确的数据库。那么如果一个监听下有2个同名数据库。监听将自动按照负载均衡把这次访问发送到负载低的数据库上,进行连接访问。数据库注册到监听的方法就决定了,能否同时注册同名数据库在同一个监听下。注册方式分为本地注册和远程注册,通过修改参数可以调整为远程注册。
下面是一段可用的TNS劫持的过程:
.在劫持机上创建一个和目标数据库实例同名的数据库实例。
.在劫持机上修改 tnsnames.ora 文件
添加
listener_name=
(DESCRIPTION=
(ADDRESS=(PROTOCOL=tcp)(HOST=目标机器IP)(PORT=目标机器端口)))
.在劫持机上用SQL*Plus 顺序执行下面步骤。
.$ sqlplus / as sysdba
. SQL> ALTER SYSTEM SETREMOTE_LISTENER=’LISTENER_NAME’;
. SQL> ALTER SYSTEM REGISTER;
.多个客户端,向数据库发起登录。会劫持到一部分客户端的登录信息。
最终达到效果如下图所示:
按照猜想同一个监听下有2个同名实例。客户端访问监听,监听按照客户端中的数据库名信息分配数据库,由于监听下有2个同名数据库,客户端链接很可能会被分配到劫持者的数据库实例下,再通过配置劫持者的本地监听把客户端请求指回原数据库。结构图如下:
测试客户端链接196次。目标数据库实例获得113次,劫持数据库实例获得83次基本满足负载均衡的假设。(注上面实例是local server 下面实例是 remote server)
通过以上方式我们可以截获约一半左右客户端发送到服务器的合法链接。其中获得了服务器IP、端口号、数据库位置、实例名、登录用户名等一系列明文信息和4组密文信息(AUTH_SESSKEY,AUTH_SESSKEY_CLIENT,AUTH_PASSWORD,AUTH_VFR_DATA)。
3、通过CVE进行密码破解
CVE受影响的数据库版本有11.2.0.3,11.2.0.2,11.1.0.7,有使用了SHA-1加密算法的10.2.0.5和10.2.0.4,还有使用了SHA-1的10.2.0.3(运行在z/OS下)版本。
虽然这个漏洞在11.2.0.3中已经解决,但是仅仅数据库客户端和服务器都升级到11.2.0.3并且sqlnet.ora文件中增加SQLNET.ALLOWED_LOGON_VERSION=12才有效。
正如CVE所描述Oracle为了防止第三方通过网络获取登录信息包。而对密码进行了加密处理。本部分只以oracle11.1密码如何破解为例进行说明。
在发起连接之后(oracle牵手完成),客户端和服务器经过协商确定要使用的验证协议。要完成这个任务,客户端首先向数据库发送一个包。包中包含客户端主要信息和所请求的加密方式。数据库确认加密方式有效后,发送一个确认服务包如下图所示:
在通过安全网络服务完成任何所要求的协议之后,数据库用户被O3logon(oracle验证方式) 进行验证,这个协议执行一个序列来向数据库证明客户端拥有密码。为了避免网络第三方截获到密码。首先客户端发送用户名到数据库来表明用户身份。数据库端根据加密协议,其中96位的作为数据库端密钥,20位的作为偏移量,它对每个连接都是不同的。一个典型的数据库端发给客户端的密钥如下:
AUTH_SESSKEY…..COCDD89FIGODKWASDF……………………
客户端根据加密算法向服务器端发送96位的客户端密钥和64位的密码密钥。服务器端计算客户端传入的密码密钥。如果计算后密码密文和数据库中存储的16位密码密文一致则验证通过。
根据这个过程可知上面TNS劫持包中取得的加密信息:AUTH_SESSKEY,AUTH_SESSKEY_CLIENT,AUTH_PASSWORD,AUTH_VFR_DATA这四个值是解密的关键。我们把他们按照SHA1,MD5,AES192进行一系列处理。最终通过数据字典碰撞得到密码明文。
下面这段网上公布的一段示例代码,这段代码与笔者的思路不完全相同,但也能大概地说明这个漏洞的攻击过程:
import hashlib
from Crypto.Cipher import AES
def decrypt(session,salt,password):
pass_hash= hashlib.sha1(password+salt)
key =pass_hash.digest() + ‘\x00\x00\x00\x00’
decryptor= AES.new(key,AES.MODE_CBC)
plain =decryptor.decrypt(session)
returnplain
session_hex =’EA2023CB8B46EC68BDC161F8CA170363C1E6F57F3EBC6435F541A8239B6DBA16EAABAE78767′
salt_hex = ‘A7193E546377EC56639E’
passwords =
for password in passwords:
session_id= decrypt(session_hex.decode(‘hex’),salt_hex.decode(‘hex’),password)
print’Decrypted session_id for password “%s” is %s’ %(password,session_id.encode(‘hex’))
ifsession_id == ‘\x08\x08\x08\x08\x08\x08\x08\x08’:
print’PASSWORD IS “%s”‘ % password
break
4、建议的预防措施
根据以上两段分析,我们可以有如下的预防措施:
(1)在条件许可的情况下,对Oracle进行补丁升级,对Oracle打cpuoct补丁;注意对于cpuoct补丁要求服务器端和应用服务器端同时升级,否则应用系统将无法访问Oracle;
(2)若无法对Oracle升级,要购买或安装具备虚拟补丁功能的数据库安全产品,防止对CVE和CVE的利用;
(3)建立足够强健的口令,不要使用8位以下密码,或者字典库中的口令。
oracle数据库版本历史的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于oracle数据库版本历史,ORACLE数据库历史回顾:版本演变及影响,Oracle数据库的介绍,Oracle数据库基本知识的信息别忘了在本站进行查找喔。
