Biuletyn Bezpieczeństwa PLOUG

Od 2008-05-05 do 2008-08-05

Wojciech Dworakowski, SecuRing
wojtekd@securing.pl

Zgodnie z planem, 15 czerwca ukazał się kolejny Oracle Critical Patch Update. Bieżący zestaw zawiera 11 poprawek dla bazy danych oraz 9 dotyczących serwera aplikacji.

Oprócz CPU w opisywanym okresie ukazał się również jeden „Oracle Alert” – dotyczył on podatności w BEA WebLogic skutkującej możliwością wyłączenia procesu serwera WWW przez intruza działającego z Internetu i nie posiadającego żadnych uprawnień. Oracle Alert i towarzyszące mu poprawki jest publikowany tylko w wypadku podatności o znacznym wpływie na ryzyko (ostatni raz Alert ukazał się w marcu 2005), tak więc WebLogic wkroczył z hukiem do rodziny produktów Oracle. Podatności tej nie opisuję poniżej, ponieważ zakres Biuletynu obejmuje jedynie bazę danych i serwer aplikacji. Zainteresowanych szczegółami odsyłam do Internetu (exploit jest szeroko dostępny).

Poniżej opisuję te z podatności, na temat których udało się znaleźć dodatkowe informacje poza tym, co udostępnia Oracle.

Możliwość obejścia konieczności uwierzytelniania do katalogu WebDAV w Oracle Portal

Produkty podatne na zagrożenie:

Oracle Portal – wszystkie wersje.

Data publicznego ujawnienia: 2008.05.09 (Deniz Cevik).

Opis:

W wyniku manipulacji ścieżką URL, anonimowy intruz może uzyskać nieuprawniony dostęp do katalogu serwera WebDAV wchodzącego w skład Oracle Portal. Oracle DAV Portal jest implementacją protokołu WebDAV. Funkcjonalność ta pozwala na zorganizowanie wymiany plików między użytkownikami na platformie Oracle Portal.

Status: Podatności jak dotychczas nie poprawiono.

Ryzyko: duże

Podatności mogą być wykorzystane przez anonimowego intruza. Opublikowano dokładny opis pozwalający na wykorzystanie podatności.

Skutki potencjalnego ataku: duże

Skutkiem ataku jest uzyskanie nieuprawnionego dostępu do katalogów Oracle DAV Portal.

Szczegóły techniczne:

Standardowo dostęp do DAV Portal (/dav_portal/portal/) jest chroniony przy pomocy uwierzytelnienia „HTTP Basic”. Jest możliwe obejście konieczności uwierzytelnienia się, o ile intruz przedstawi odpowiedni identyfikator sesji Portal w cookie. Identyfikator ten można pozyskać poprzez specjalnie zmodyfikowany link do Oracle Portal: http://site/pls/portal/%0A

Usunięcie podatności:

Jak dotychczas nie opublikowano poprawki. Obejściem problemu jest zastosowanie innej metody uwierzytelnienia niż standardowe „HTTP Basic” do katalogu DAV Portal lub usunięcie tej funkcjonalności, o ile nie jest wykorzystywana.

Możliwość ataku metodą cross-site scripting na użytkowników Oracle Portal

Produkty podatne na zagrożenie:

Oracle Portal – wszystkie wersje.

Data publicznego ujawnienia: 2008.07.16 (Andrea Purificato).

Status: Podatność poprawiono w CPU July 2008.

Ryzyko: średnie

Aby wykorzystać podatność, intruz musi skłonić ofiarę do użycia specjalnie spreparowanego URL, zawierającego odnośnik do aplikacji lub specjalnie skonstruowanej wrogiej strony. Ponadto, w momencie użycia tego URL ofiara musi mieć otwartą sesję podatnej aplikacji (Oracle Portal).

Opublikowane informacje pozwalają na wykorzystanie podatności nawet przez początkującego intruza.

Skutki potencjalnego ataku: duże

Skutkiem ataku jest wykonanie wrogiego kodu JavaScript w przeglądarce ofiary, co może prowadzić do wykonania dowolnej operacji w aplikacji z uprawnieniami ofiary lub do przechwycenia sesji ofiary w aplikacji.

Szczegóły techniczne:

Podatność na atak cross-site scripting wiąże się z brakiem sprawdzania przez aplikację wartości parametrów przekazywanych z przeglądarki użytkownika. Podatność istnieje, jeśli parametr pobierany od użytkownika, po przetworzeniu jest wyświetlany na stronie HTML wygenerowanej przez aplikację.

Atak polega na skonstruowaniu URL, który zawiera w podatnym parametrze zaszyty wrogi kod JavaScript. Gdy ofiara wykona tak przygotowany URL, to wrogi kod JavaScript zostanie wykonany w przeglądarce ofiary w kontekście podatnej aplikacji.

W Oracle Portal podatność tego typu dotyczy parametru POPUP_NAME na stronie PORTAL.WWPOB_HOME_PAGE.

Usunięcie podatności:

Podatność jest usuwana przez wgranie zestawu poprawek Oracle CPU July 2008.

Możliwość celowego spowodowania awarii Oracle Internet Directory

Produkty podatne na zagrożenie:

Oracle Internet Directory – wszystkie wspierane wersje.

Data publicznego ujawnienia: 2008.07.15 (Joxean Koret w ramach Vulnerability Contributor Program firmy iDefense).

Opis:

W wyniku manipulacji zleceniem LDAP anonimowy intruz może wywołać awarię procesu Oracle Internet Directory.

Status: Podatność poprawiono w CPU July 2008.

Ryzyko: duże

Wykorzystanie podatności nie wymaga od intruza posiadania jakichkolwiek praw zdefiniowanych w atakowanym katalogu LDAP. Wystarczy jedynie możliwość nawiązania połączenia z portem OID (standardowo 389/tcp lub 636/tcp). Opublikowano wrogi kod (exploit) pozwalający na wykorzystanie podatności nawet przez niezaawansowanego intruza.

Skutki potencjalnego ataku: duże

Skutkiem ataku jest zakończenie procesu obsługującego zlecenia LDAP. Żeby przywrócić działanie systemu należy zrestartować „listener” OID.

Szczegóły techniczne:

Oracle Internet Directory składa się z procesu „listenera”, który przekazuje zlecenia do drugiego procesu obsługującego zlecenia LDAP. Podatność istnieje w drugim z tych procesów. Odpowiednio zmodyfikowane zlecenie LDAP może spowodować przekierowanie procesu do wskaźnika NULL i w rezultacie awarię procesu. Według autora opublikowanego exploita, podatność istnieje zarówno na platformach 32 jak i 64-bitowych, jednak na platformach 32-bitowych proces wywraca się natychmiast, a na 64-bitowych wymaga wielogodzinnego ataku.

Usunięcie podatności:

Podatność jest usuwana przez wgranie zestawu poprawek „Oracle Critical Patch Update July 2008”.

Podatność pozwalająca na atak metodą buffer overflow w pakiecie DBMS_AQELM

Produkty podatne na zagrożenie:

Oracle Database – wszystkie wersje począwszy od 9iR2.

Data publicznego ujawnienia: 2008.07.15 (Joxean Koret w ramach Vulnerability Contributor Program firmy iDefense).

Opis:

W wyniku manipulacji parametrami przekazywanymi do podatnych procedur, dowolny użytkownik może doprowadzić do awarii procesu bazy Oracle lub wykonać wrogi kod w systemie operacyjnym serwera.

Status: Podatność poprawiono w CPU July 2008.

Ryzyko: średnie

Podatności mogą być wykorzystane przez dowolnego użytkownika, mającego możliwość wywoływania podatnych procedur z bazy danych. W tym wypadku intruz musi mieć możliwość wywoływania pakietu DBMS_AQELM np. przez rolę AQ_ADMINISTRATOR_ROLE.

Skutki potencjalnego ataku: duże

Skutkiem ataku jest wykonanie dowolnego kodu w systemie operacyjnym z uprawnieniami właściciela instalacji Oracle (użytkownik „oracle” na unixach i użytkownik „SYSTEM” na Windows) lub zawieszenie procesu serwera bazy danych.

Szczegóły techniczne:

Nie ujawniono która z procedur pakietu DBMS_AQELM jest podatna.

Usunięcie podatności:

Podatność jest usuwana przez wgranie zestawu poprawek „Oracle Critical Patch Update July 2008”.

Obejściem problemu jest usunięcie użytkownikom przywilejów pozwalających na uruchamianie podatnych procedur.