Biuletyn Bezpieczeństwa PLOUG

Od 2005-08-09 do 2005-11-25

Wojciech Dworakowski
wojtekd@securing.pl

18 października 2005 ukazał się zestaw poprawek CPU 2005.
Jak zwykle Oracle doradza jak najszybsze zainstalowanie poprawek, ponieważ
usuwają one dość kluczowe podatności. Poniżej publikujemy szczegóły
techniczne znalezione w źródłach niezależnych od Oracle.

Uwaga:

Już po wypuszczeniu CPU, Oracle zostało poinformowane o
tym, że zestaw poprawek zawiera błąd, który powoduje że nie działają
poprawki dla Oracle Text (CTXSYS). Poprawki te dotyczą starych podatności, ale
są uwzględnione w bieżącym CPU
ze względu na to, że zestawy poprawek są zbiorcze. Tak więc poniższe
dotyczy tylko nowych lub uprzednio nie łatanych instalacji, dla których
administrator instaluje tylko CPU Oct 2005.

(szczegóły: http://www.securityfocus.com/archive/1/416045/30/0/threaded).

Użytkownicy, którzy ściągnęli najnowsze CPU przed 9
listopada 2005 powinni jeszcze raz ściągnąć i zainstalować CPU Oct 2005 lub
wykonać kroki opisane w mailu, który otrzymali klienci Oracle

(szczegóły e-maila: http://www.red-database-security.com/advisory/details_oracle_cpu_october.html)

1. Podatności usuwane przez Oracle Critical Patch Update Oct 2005

Błędy w wielu procedurach bazodanowych

Produkty podatne na zagrożenie:
Oracle Database – wszystkie wersje

Data publicznego ujawnienia:
18.10.2005

Opis:


W procedurach PL/SQL instalowanych wraz z bazą Oracle
wykryto wiele błędów. Błędy te pozwalają z reguły na uzyskanie większych
przywilejów w bazie lub zawieszenie całości bazy danych.

Status:
Oracle udostępniło poprawkę.

Ryzyko: duże

Żeby wykorzystać opisywane podatności intruz musi mieć
konto w bazie danych. Większość podatnych procedur jest dostępna dla grupy
PUBLIC.
Dla jednej z podatności (w procedurze sys.pbsde.init) został
opublikowany exploit pozwalający na zawieszenie bazy danych.

Szczegóły techniczne:

Odkryte podatności można podzielić na dwie grupy:

  1. Możliwość przepełnienia bufora (buffer overflow).
    Skutkiem jest zawieszenie bazy danych lub osiągnięcie przywilejów właściciela
    instalacji Oracle
    w systemie operacyjnym.
  2. PL/SQL injection. Skutkiem jest wykonanie kodu PL/SQL z
    uprawnieniami właściciela podatnej procedury
    (z reguły DBA) i w rezultacie osiągnięcie wyższych przywilejów w bazie.

Pełna lista podatnych procedur znajduje się na stronach:

http://www.red-database-security.com/advisory/details_oracle_cpu_october.html

http://www.appsecinc.com/resources/alerts/oracle/2005-10.html

Usunięcie podatności:

Podatności są usuwane przez wgranie zestawu poprawek
„Oracle Critical Patch Update October 2005”. Dla części podatnych
procedur można zastosować obejście problemu polegające na odebraniu grupie
PUBLIC praw do podatnej procedury.

Możliwość przepełnienia bufora wejściowego
w Oracle Enterprise Manager Agent

Produkty podatne na zagrożenie:
Instalacje z włączonym Oracle Enterprise Manager Agent (emagent.exe).

Data publicznego ujawnienia: 18.10.2005 – SPI Dynamics.

Opis:

Manipulacja parametrami przekazywanymi w protokole HTTP do EM
Agenta może doprowadzić do wykonania wrogiego kodu w atakowanym systemie
operacyjnym. Kod wykona się z uprawnieniami procesu emagent.exe (lub
odpowiednika na systemach unixowych). Na systemach Windows jest to równoważne
zdobyciu uprawnień administracyjnych.

Status: Oracle udostępniło poprawkę.

Ryzyko: duże

Intruz nie musi mieć konta w systemie. Wystarczy dostęp za
pośrednictwem HTTP do portu TCP na którym działa Enterprise Manager Agent.
Nie zostały opublikowane szczegóły techniczne pozwalające
na wykonanie ataku niezaawansowanym intruzom.

Skutki potencjalnego ataku: duże

Skutkiem ataku jest wykonanie dowolnego kodu w systemie
operacyjnym
z uprawnieniami LOCAL SYSTEM (Windows) lub z uprawnieniami właściciela
instalacji Oracle (unixy) lub w najlepszym wypadku – zawieszenie procesu
EM Agent.

Szczegóły techniczne:

Szczegóły techniczne nie zostały opublikowane.

Usunięcie podatności:

Podatność jest usuwana przez wgranie zestawu poprawek
„Oracle Critical Patch Update October 2005”.

Możliwość ataku metodą cross-site scripting
na klientów aplikacji wykorzystujących
Oracle Workflow

Produkty podatne na zagrożenie: Oracle Workflow.

Data publicznego ujawnienia: 20.10.2005 – Alexander Kornburst (Red Database Security).

Status: Oracle udostępniło poprawkę.

Ryzyko: małe

Aby wykorzystać podatność intruz musi skłonić ofiarę do
użycia specjalnie spreparowanego URL. Ponadto, w momencie użycia tego URL
ofiara musi być uwierzytelniona w atakowanej aplikacji.
Zostały opublikowane szczegóły techniczne pozwalające na
wykorzystanie podatności.

Skutki potencjalnego ataku: duże

Skutkiem ataku jest wykonanie wrogiego kodu JavaScript w
przeglądarce ofiary. Z reguły kod ten wykrada cookie aplikacji, co pozwala
intruzowi na przejęcie sesji ofiary w aplikacji.

Szczegóły techniczne:

Podatność na atak cross-site scripting wiąże się z
brakiem sprawdzania przez aplikację wartości parametrów przekazywanych z
przeglądarki użytkownika. Podatność istnieje, jeśli parametr pobierany od użytkownika,
po przetworzeniu jest wyświetlany na stronie HTML wygenerowanej przez aplikację.
Atak polega na skonstruowaniu URL, który zawiera w podatnym
parametrze zaszyty wrogi kod JavaScript. Gdy ofiara wykona tak przygotowany URL,
to wrogi kod JavaScript zostanie wykonany w przeglądarce ofiary w kontekście
podatnej aplikacji.
W przypadku Oracle Workflow podatności są zlokalizowane w
formatkach:

  • wf_route.CreateRule – pole „end date”;
  • wf_monitor.find_instance – pole „response
    form”.

Usunięcie podatności:

Podatność jest usuwana przez wgranie zestawu poprawek
„Oracle Critical Patch Update October 2005”.

2. Nowe szczegóły
dotyczące podatności usuwanych przez wcześniejsze CPU

Poza informacjami dotyczącymi najnowszego zestawu poprawek,
w ostatnim okresie opublikowano również interesujące szczegóły dotyczące
podatności łatanych przez poprzednie CPU. Podatności te dotyczą aplikacji
webowych dostarczanych razem
z produktami Oracle, tj: iSQL/Plus, WebForms, HTML DB, XML DB.

Użytkownik z dostępem do iSQL/Plus lub
WebForms może zatrzymać Oracle Listener

Podatność dotyczy instalacji, w których Oracle Listener
nie został zabezpieczony hasłem (lub intruz zna hasło do Listenera).
Wykorzystanie podatności polega na uruchomieniu specjalnie skonstruowanego URL,
który w rezultacie łączy się lokalnie
(z poziomu serwera) z portem listenera i wydaje komendę „stop”.

Podatność jest łatwa do wykorzystania nawet przez niedoświadczonego
intruza, ponieważ opublikowano exploit (URL, który powoduje zamknięcie
Listenera).

Podatność jest usuwana przez wgranie zestawu poprawek CPU
July 2005.

Podczas instalacji HTML DB hasło użytkownika SYS jest zapisywane
w pliku otwartym tekstem

W trakcie instalacji HTML DB jest tworzony plik install.lst,
w którym są logowane wszystkie pytania do administratora i jego odpowiedzi. Między
innymi jest też zapisywane hasło SYS.

Podatność jest usuwana przez wgranie zestawu poprawek CPU
July 2005. Problem można obejść usuwając plik install.lst.

Możliwość ataku metodą XSS na iSQL/Plus, HTML DB i XML DB

Zostały opublikowane szczegóły ataków metodą cross-site
scripting na iSQL/Plus, HTML DB i XML DB. Opublikowane informacje
pozwalają na odtworzenie ataku nawet przez intruza nie posiadającego żadnej
wiedzy o produktach Oracle.

Podatności są usuwane przez wgranie zestawu poprawek CPU July 2005.