一、概要近日，Oracle官方近日发布了10月关键补丁更新，其中包含了Oracle WebLogic Server的5个高危的远程代码执行漏洞（CVE-2018-3191、CVE-2018-3197、CVE-2018-3201、CVE-2018-3245、CVE-2018-3252）。该5个漏洞均针对WebLogic Server的WSL核心组件，攻击者可以在未授权的情况下将payload封装在T3协议中，通过对T3协议中的payload进行反序列化，从而实现对存在漏洞的WebLogic组件进行远程攻击，执行任意代码，并获取目标系统的所有权限。利用漏洞： CVE-2018-3191、CVE-2018-3197、CVE-2018-3201、CVE-2018-3245、CVE-2018-3252参考链接：https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html二、漏洞级别漏洞级别：【严重】（说明：漏洞级别共四级：一般、重要、严重、紧急。）三、影响范围经确认该5个高危漏洞暂不影响华为云平台侧相关版本；漏洞影响Oracle WebLogic Server版本如下：CVE-2018-3191 影响 WebLogic 10.3.6.0、12.1.3.0、12.2.1.3 版本。CVE-2018-3197 影响 WebLogic 12.1.3.0 版本。CVE-2018-3201 影响 WebLogic 12.2.1.3 版本。CVE-2018-3245 影响 WebLogic 10.3.6.0、12.1.3.0、12.2.1.3 版本。CVE-2018-3252 影响 WebLogic 10.3.6.0、12.1.3.0、12.2.1.3 版本。四、安全建议Oracle官方已经在10月关键补丁更新中修复这些漏洞，请对受影响的WebLogic Server进行更新。1、 使用正版软件的许可账号登陆https://support.oracle.com 后，可以下载最新补丁。2、 临时解决方案通过设置weblogic.security.net.ConnectionFilterImpl默认连接筛选器，对T3/T3s协议的访问权限进行配置，阻断漏洞利用途径。具体如下：a)    进入WebLogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。b)    在连接筛选器中输入：WebLogic.security.net.ConnectionFilterImpl，在连接筛选器规则中输入：* * 7001 deny t3 t3sc)    保存后重新启动即可生效。注意：修复漏洞前请将资料备份，并进行充分测试。

        云计算技术如今已经逐步步入成熟，云服务已经呈现大规模落地之势。企业级应用上云，已成当下企业IT构建的基本准则。但是向云迁移，应用层好做，但是系统数据库如何做迁移却成了难题。据调查，目前国内传统行业使用Oracle的使用率仍旧高达56%。        所以，云上Oracle是否可行？云上如何做高可用？性能如何？混合云怎么部署？一些列问题成了困扰企业级用户上云的挑战。        湖南星伟文讯借助华为云能够帮你很好解决RAC上云难问题。        传统IDC RAC与云上RAC区别：图示：RAC在云上部署结构         以下是IDC RAC架构：RAC的数据放在共享存储上，计算由数台服务器提供图示：RAC在传统物理环境下的部署结构由上可看出Oracle RAC既有它的优势也有不足之处：RAC方案优点：1、多节点并发处理，高性能；2、高可用，快速切换；3、高扩展性RAC方案不足：1、相对单机管理更复杂；2、如果系统规划设计能力不足，性能可能不如单节点； 传统的Oracle RAC在管理、监控、硬件性能扩展、存储扩容方面有明显局限性，云上RAC架构具有随需应变、灵活扩展、高可用、高可靠等天然优势，如果Oracle RAC与华为云相结合，则可以很好地解决这些问题。不仅极大简化IT的运维工作，还能够为业务的快速变化提供快速的响应能力。湖南星伟文讯实施工程师拥有多年专业DBA维护经验。提供一站式的云上数据库托管服务。基于云服务器，湖南星伟文讯提供完整的数据库上云架构设计和部署实施，包括数据库上云规划，数据库上云架构设计和性能评估，软件部署和高可用架构设计等，支持的数据库类型含Oracle、Sqlserver双机，包括MySQL单机，主备库，Oracle 单机，DG，RAC等。具体包括：1、协助客户梳理构建上云Oracle数据库服务的基础架构，如单机架构，HA架构，DG架构，RAC架构。2、完成云上Oracle 数据库软件安装和配置建议，包括DG/HA/RAC架构，数据库实例的创建及相关参数的初始化建议。3、湖南星伟文讯信息科技作为华为云重要的合作伙伴，专注于为企业客户提供云计算和数据库技术服务及产品。请关注星伟文讯数据库群

问题背景：nova api中dhcp_domain默认值是novalocal，当虚拟机cloudinit请求metadata服务到数据库取hostname返回时会追加.novalocal后缀。某些OS厂商（OpenSUSE 42.1、SLES 11.4/12.1、Ubuntu 1404、OracleLinux 7.2）的cloudinit版本能处理后缀，通过hostname命令获取的机器名是不带后缀的，某些（CentOS/RHEL 6.x/7.x和OracleLinux 6.x等系列OS）不处理，仍然带后缀。若修改nova-api的对内配置项，dhcp_domain设置为空，查看cloudinit源码，确实有添加localdomain后缀的动作，Cloud-init的代码中，涉及domain相关操作的： 初始化 即cloud-init/sources/__init__.py的get_hostname方法，从结果看fqdn（带domain的host）是肯定存在的也就是说这个流程的返回是肯定包括localdomain的。Cloudinit针对不同OS做了不同的处理，例如在目前在OTC平台上，Ubuntu14.04的主机名不带后缀，centOS7.2就带后缀。经过在AWS上验证，Ubuntu14.04不带后缀，centOS7.2也同样携带后缀。针对有问题的centos7.2，进一步验证发现，如果将nova api中dhcp_domain默认值设置为空，cloudinit会自动给主机名加localdomain后缀（查看cloudinit的代码，也证实了会设置localdomain上去）。因此，可以证实：cloudinit跟不同OS配合实现上，存在差异。CentOS/RHEL 6.x/7.x和OracleLinux 6.x等系列OS采用cloud-init注入主机名会添加.novalocal问题解决办法1、修改/usr/lib/python2.7/site-packages/cloudinit/sources/__init__.py文件，采用.novalocal来切片处理，不给domain赋值.novalocal保持默认。PS: 确保如下3处修改是一样，有的OS就涉及前2处即可。2、清理__init__.py源文件编译后的__init__.pyc文件和优化编译后的__init__.pyo文件。# rm -fr __init__.pyc __init__.pyo测试效果如下：处理策略：1、按照如上办法修改主机，再从新让虚拟机更新主机名（ps：重启或rm -fr /var/lib/cloud/*后重启VM即可）。2、按照如上办法修改主机，再制作一个私有镜像，后续即可使用此镜像进行重装或批量化创建VM。

云计算技术如今已经逐步步入成熟，云服务已经呈现大规模落地之势。企业级应用上云，已成当下企业IT构建的基本准则。但是向云迁移，应用层好做，但是系统数据库如何做迁移却成了难题。据调查，目前国内传统行业使用Oracle的使用率仍旧高达56%。 所以，云上Oracle是否可行？云上如何做高可用？性能如何？混合云怎么部署？一些列问题成了困扰企业级用户上云的挑战。 湖南星耀科技借助华为云能够帮你很好解决RAC上云难问题。 18433 传统IDC RAC与云上RAC区别： 18434 图示：RAC在云上部署结构以下是IDC RAC架构：RAC的数据放在共享存储上，计算由数台服务器提供6018435图示：RAC在传统物理环境下的部署结构由上可看出Oracle RAC既有它的优势也有不足之处： RAC方案优点：1、多节点并发处理，高性能；2、高可用，快速切换；3、高扩展性 RAC方案不足：1、相对单机管理更复杂；2、如果系统规划设计能力不足，性能可能不如单节点； 传统的Oracle RAC在管理、监控、硬件性能扩展、存储扩容方面有明显局限性，云上RAC架构具有随需应变、灵活扩展、高可用、高可靠等天然优势，如果Oracle RAC与华为云相结合，则可以很好地解决这些问题。不仅极大简化IT的运维工作，还能够为业务的快速变化提供快速的响应能力。 湖南星耀科技实施工程师拥有多年专业DBA维护经验。提供一站式的云上数据库托管服务。基于云服务器，湖南星耀科技提供完整的数据库上云架构设计和部署实施，包括数据库上云规划，数据库上云架构设计和性能评估，软件部署和高可用架构设计等，支持的数据库类型含Oracle、Sqlserver双机，包括MySQL单机，主备库，Oracle 单机，DG，RAC等。具体包括：1、协助客户梳理构建上云Oracle数据库服务的基础架构，如单机架构，HA架构，DG架构，RAC架构。2、完成云上Oracle 数据库软件安装和配置建议，包括DG/HA/RAC架构，数据库实例的创建及相关参数的初始化建议。3、湖南星耀科技作为华为云重要的合作伙伴，专注于为企业客户提供云计算和数据库技术服务及产品。18436 请关注星耀微信公众号

　　云计算技术如今已经逐步步入成熟，云服务已经呈现大规模落地之势。企业级应用上云，已成当下企业IT构建的基本准则。但是向云迁移，应用层好做，但是系统数据库如何做迁移却成了难题。据调查，目前国内传统行业使用Oracle的使用率仍旧高达56%。所以，云上Oracle是否可行？云上如何做高可用？性能如何？混合云怎么部署？一些列问题成了困扰企业级用户上云的挑战。湖南星耀科技借助华为云能够帮你很好解决RAC上云难问题。 18332 传统IDC RAC与云上RAC区别：18333 图示：RAC在云上部署结构 以下是IDC RAC架构：RAC的数据放在共享存储上，计算由数台服务器提供18334 图示：RAC在传统物理环境下的部署结构由上可看出Oracle RAC既有它的优势也有不足之处：RAC方案优点：1、多节点并发处理，高性能；2、高可用，快速切换；3、高扩展性RAC方案不足：1、相对单机管理更复杂；2、如果系统规划设计能力不足，性能可能不如单节点； 传统的Oracle RAC在管理、监控、硬件性能扩展、存储扩容方面有明显局限性，云上RAC架构具有随需应变、灵活扩展、高可用、高可靠等天然优势，如果Oracle RAC与华为云相结合，则可以很好地解决这些问题。不仅极大简化IT的运维工作，还能够为业务的快速变化提供快速的响应能力。 湖南星耀科技实施工程师拥有多年专业DBA维护经验。提供一站式的云上数据库托管服务。基于云服务器，湖南星耀科技提供完整的数据库上云架构设计和部署实施，包括数据库上云规划，数据库上云架构设计和性能评估，软件部署和高可用架构设计等，支持的数据库类型含Oracle、Sqlserver双机，包括MySQL单机，主备库，Oracle 单机，DG，RAC等。具体包括：1、协助客户梳理构建上云Oracle数据库服务的基础架构，如单机架构，HA架构，DG架构，RAC架构。2、完成云上Oracle 数据库软件安装和配置建议，包括DG/HA/RAC架构，数据库实例的创建及相关参数的初始化建议。3、湖南星耀科技作为华为云重要的合作伙伴，专注于为企业客户提供云计算和数据库技术服务及产品。 18335 请关注星耀微信公众号

适用场景该文档适用于Windows系统远程登录出现身份验证错误及要求的函数不正确的场景约束与限制Windows 客户端、跳转机、服务器有且只有一个主机更新过KB4093120及以上补丁均会导致Windows主机远程连接失败，如客户端与服务器均升级到补丁KB4093120及以上补丁或者都未升级该补丁及以上补丁，则不会出现此类问题。适用于如下Windows版本：Windows Server 2016Windows Server 2012 R2StandardWindows Server 2012 StandardWindows 8.1Windows 10Windows 7Windows 10Version 1511Windows 10 Version 1607Windows 10 Version 1703Windows 10 version1709Windows Server 2016Windows Server 2008 R2 StandardWindows Server 2008FoundationWindows Server 2008 Enterprise without Hyper-VWindows Server 2008Service Pack 2Windows Server 2008 DatacenterWindows Server 2008 for Itanium-BasedSystemsWindows Server 2008 Datacenter without Hyper-VWindows Server 2008EnterpriseWindows Server 2016 StandardWindows Server 2016 EssentialsWindowsServer 2016 DatacenterWindows Server Datacenter CoreWindows Server StandardCoreWindows Vista Service Pack 2Windows Server 2008 R2 EnterpriseWindows Server2008 R2 DatacenterWindows Web Server 2008 R2Windows 7 EnterpriseWindows 7UltimateWindows 7 StarterWindows 7 Home PremiumWindows 7 ProfessionalWindows 7Home BasicWindows Server 2008 R2 FoundationWindows Server 2008 R2 Service Pack1Windows 7 Service Pack 1Windows Server 2012 EssentialsWindows Server 2012DatacenterWindows Server 2012 FoundationWindows Server 2012 R2DatacenterWindows Server 2012 R2 EssentialsWindows RT 8.1Windows Server 2012 R2FoundationWindows 8.1 ProWindows 8.1 EnterpriseWindows Web Server 2008WindowsServer 2008 Standard问题描述Windows客户端系统升级补丁KB4093120及以上补丁后，使用远程连接服务器报如下错误信息：出现身份验证错误，要求的函数不正确，这可能是由于CredSSP加密Oracle修正。15126 问题原因此问题主要因微软修复CredSSP漏洞引入组策略“加密Oracle修正”引发。2018 年 3 月 13 日2018 年 3 月 13 日的初始版本更新了所有受影响平台的 CredSSP 身份验证协议和远程桌面客户端。缓解措施包括在所有符合条件的客户端和服务器操作系统上安装更新，然后使用包含的“组策略”设置或基于注册表的等效项管理客户端和服务器计算机上的设置选项。我们建议管理员应用该策略，并尽快在客户端和服务器计算机上将其设置为“强制更新的客户端”或“缓解”。这些更改将需要重启受影响的系统。请密切关注导致本文后面的兼容性表中的客户端和服务器之间的“阻止”交互的组策略或注册表设置对。2018 年 4 月 17 日KB 4093120 中的远程桌面客户端 (RDP) 更新将增强更新的客户端无法连接到尚未更新的服务器时出现的错误消息。2018 年 5 月 8 日将默认设置从“易受攻击”更改为“缓解”的更新。相关的 Microsoft 知识库编号已在 CVE-2018-0886 中列出详见微软官方支持文档。https://support.microsoft.com/zh-cn/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018解决方案1. 临时方案，客户端已升级补丁KB4093120或以上版本。修改组策略 计算机 –>运行 gpedit.msc策略路径：“计算机配置”->“管理模板”->“系统”->“凭据分配”设置名称： 加密 Oracle 修正 （仅升级过该补丁后才有该选项）1512715128 组策略修改规则具体可参考如下矩阵：（未修补即未升级补丁K4093120及以上版本）矩阵说明：客户端和服务器端的配置在矩阵的交叉点为允许则能正常登陆，具体示例如下：场景1：客户端已升级该补丁，且策略为“强制更新的客户端”，服务器端未升级该补丁，则无法正常登陆，将客户端策略改为“易受攻击”则可解决。15129 场景2，客户端未升级该补丁，服务器已经升级该补丁且策略为“强制更新的客户端”，解决方法为修改服务器端策略为“缓解”或者“易受攻击”15130 2. 彻底解决方法：同时升级客户端及服务器补丁到KB4093120或以上版本。

mysql如何像oracle关闭监听那样禁用客户端的TCP连接呢？在维护数据库时，为了数据的一致性，如何禁止mysql客户端通过TCP的方式连接数据库呢？其实很简单，只需要开启一个参数--skip-networking。这是静态参数，修改后需要重启数据库。开启这个参数后，mysql数据库仅允许本地非TCP类型的连接访问数据库。 步骤一：修改mysql参数文件，在mysqld下添加如下配置：skip-networking=ON注：使用mysql –help|grep my.cnf名称查找mysql正在使用的参数文件步骤二：重启mysql服务，service mysql restart或者/etc/init.d/mysql restart注：mysql为启动脚本的名称，根据实际情况修改步骤三：登录数据库所在主机，通过本地socket方式登录数据库。mysql –u[username] -p[password] 步骤四：验证TCP连接，如下图TCP的连接已经无法访问数据库。注意事项：该参数启用后，mysql复制的IO线程会处于connecting状态。维护结束后(skip-networking恢复为原值OFF)，检查slave复制状态，如果IO线程仍处于connecting状态，需重启slave。​

在过去的一年中，Java 历经了许多变化。在今年年初，Java EE 处于一个不确定的状态，Java 9 版本也推迟了它的发布日期。在 2016 年的 JavaOne 上，甲骨文宣布了解决平台的计划和 Java SE 9 和 OpenJDK 9 的相关信息。 2017年6月，Java Community Process 执行委员会投票通过了被称为 JSR 376 的 Java 平台模块系统，该平台为 Java 9 奠定了基础。 2017 年 8 月，甲骨文宣布要将 Java EE 转移到开源阵营。一个月后，Oracle 将 Java EE 转移到 Eclipse 基金会，Oracle 也继续支持现有的 Java EE 许可证。据甲骨文公司说，迁移到 Eclipse 基金会使组织能够采用更灵活的方式管理。 Eclipse 基金会还有许多其他开源项目和基于社区的治理方法来加强项目合作和快速创新。 2017 年 9 月，Java 9 发布了。它具有模块化架构，而不是 Java 以前版本中的单片架构。这样可以在较小的设备上实现可扩展性，这本应该是 JDK 8 中应包含的功能，但在 JDK 8 发布时尚未准备就绪。 JShell 在 Java 中增加了 Read-Eval-Print-Loop 功能，允许开发人员在编写代码时获得即时反馈，这对初学者甚至有经验的 Java 开发人员尝试新的 API，库或功能都很有帮助。还有几个其他新功能可以改进 JVM 的编译和性能，以及增强核心库。 在 2017 年 9 月的 JavaOne 上，一个名为 Java Guardians 的组织试着让 Oracle 给 Java EE 更大的关注来向前迈进，甲骨文终于开始谈论 Java EE，并表示计划在 2017 年完成并发布它。然而到了 2016 年 7 月份，开发人员仍然在等待 Java EE 更新的消息，在那期间也没有关于 Oracle 的消息。 同样在 9 月，Oracle 建议对 Java SE 和 JDK 发布周期进行更改，使得版本更加灵活。它希望从 2018 年3 月起每 6 个月发布一次重要版本，Java 9 更新版本将继续每季度发布一次，并且每三年会发布一次大版本。 在 2017 年 10 月的 JavaOne 上，提供的几个软件工具已经宣布的新服务。Parasoft 发布更新了 Jtest，这是一个Java 的单元测试助手。JNBridge 发布了 Java.VS，这个插件允许开发人员在 Visual Studio 中编写 Java 代码。Java.VS 还有 Java 代码编辑器，Java 项目系统，并允许 Java 开发人员使用 VS 构建系统和调试器接口的功能。