Biuletyn Bezpieczeństwa PLOUG od 2002-09-01 do 2002-11-25

Wojciech Dworakowski
wojtekd@ipsec.pl

Od tego numeru PLOUG’tek rozpoczynamy publikację Biuletynu
Bezpieczeństwa. Biuletyn będzie uwzględniał zagrożenia związane z Oracle,
jakie zostały opublikowane w ciągu ostatnich trzech miesięcy.
Głównym źródłem informacji są dokumenty Oracle Security Alert (http://technet.oracle.com/deploy/security/alerts.htm)
uzupełnione o informacje z innych źródeł i testów praktycznych.
Prosimy o przesyłanie na adres autora wszelkich uwag.
Każda informacja będzie podawana w następującej formie:

Nazwa zagrożenia

Data publicznego ujawnienia zagrożenia:

Opis:
Krótki opis ataku, wymagań jakie musi spełnić intruz i skutków ataku.

Stopień zagrożenia: Oszacowanie stopnia zagrożenia

Szczegóły techniczne:
Dla zainteresowanych – techniczne detale zagrożenia i ataku

Usunięcie zagrożenia:
Numer łaty Oracle (o ile istnieje) i wskazówki, jak się ustrzec przed
podobnymi błędami producenta w przyszłości.


Uwierzytelnianie w Oracle E-Business Suite

Wersje podatne na zagrożenie:
Oracle E-Business Suite 11i, wersje od 11.1 do 11.6

Data publicznego ujawnienia: 2002-10-04

Opis:
Błąd umożliwia uzyskanie dostępu do systemu z pominięciem normalnej
procedury uwierzytelniania.

Stopień zagrożenia: średni

Szczegóły techniczne:
Za występowanie błędu jest odpowiedzialna metoda AolSecurityPrivate.class.
Dokładniejsze szczegóły, co do istoty i sposobu wykorzystania błędu nie
zostały podane do wiadomości publicznej. Informacja została opublikowana
przez Oracle (Alert #44).

Usunięcie zagrożenia:
Łata numer 2609399 (metalink.oracle.com)

Atak typu DoS na Oracle WebCache Manager (9iAS)

Wersje podatne na zagrożenie:
Oracle 9iAS 9.0.2.0.0
Błąd występuje tylko na platformach Windows.

Data publicznego ujawnienia: 2002-10-04

Opis:
Oracle WebCache jest serwisem, który wspomaga wydajność działania
serwera aplikacji. WebCache Manager jest aplikacją www służącą do zarządzania
tym komponentem.
Istnieje możliwość zdalnego zaatakowania tej aplikacji przez wysłanie do
niej odpowiednio sformatowanych zleceń. Skutkiem ataku może być zablokowanie
aplikacji zarządzającej – WebCache Manager.

Stopień zagrożenia: niski
Intruz który może wysyłać pakiety do portu TCP, na którym działa
WebCache Manager, może spowodować zawieszenie tej aplikacji.
Dane udostępniane przez Oracle 9iAS nie są bezpośrednio zagrożone.

Szczegóły techniczne:
W aplikacji zarządzającej WebCache Manager istnieją dwa błędy.
Wysłanie do WebCache Manager zlecenia w postaci:

GET /../ HTTP/1.0
Host: dowolna_nazwa
[CRLF]
[CRLF]

Lub:

GET / HTTP/1.0
Host: dowolna_nazwa
Transfer-Encoding: chunked
[CRLF]
[CRLF]

Powoduje zawieszenie tej aplikacji. Jest to spowodowane błędną
obsługą tego typu zleceń przez WebCache Manager. Rodzaj błędu sugeruje możliwość
istnienia również innych sposobów wykorzystania tego błędu.

Usunięcie zagrożenia:
Producent jak dotąd nie usunął tego błędu.
Obejściem problemu jest dopuszczenie do komunikacji z WebCache Managerem tylko
wybranych adresów IP (adresów stacji administratorów). Odpowiada za to
parametr Secure Subnets. Można to również osiągnąć przez filtrowanie ruchu
TCP/IP na firewallu bądź na poziomie systemu operacyjnego.

Ataki typu DoS na Listener

Wersje podatne na zagrożenie:
Wszystkie wersje Oracle 8 i 9 włącznie z wersją 9.2.

Data publicznego ujawnienia: 2002-10-06

Opis:
Wysłanie odpowiedniej komendy do Listenera powoduje jego zawieszenie.
Atak może być wykonany zdalnie. Jedynym wymogiem jest możliwość wysyłania
pakietów na port TCP Oracle Listenera (1521/tcp).
Skutkiem ataku jest uniemożliwienie innym użytkownikom normalnej komunikacji z
Listenerem do czasu jego restartu.

Stopień zagrożenia: średni

Szczegóły techniczne:
Są to dwa niezależne błędy, które skutkują podobnymi efektami.
Niektóre polecenia debugggingowe protokołu SQL*Net są źle obsługiwane przez
Listener. Debugging jest włączony w konfiguracji standardowej i nie da się go
w żaden sposób wyłączyć. Wysłanie specjalnego polecenia debuggingowego
powoduje zawieszenie Listenera.
Drugi atak polega na wysłaniu do Listenera komendy Service_CurLoad. Powoduje to
konsumpcję dostępnej mocy obliczeniowej procesora przez proces Listenera i
– podobnie jak w poprzednim wypadku – brak obsługi bieżących
zleceń.

Usunięcie zagrożenia:
Łaty numer 2467947 i 2540219 (metalink.oracle.com)
Ponadto zalecane jest ograniczenie dostępu z sieci do Listenera przez
wykorzystanie opcji „Valid Node Checking”. W pliku sqlnet.ora należy
umieścić następujące linie:
tcp.validnode_checking = YES
tcp.invited_nodes = (lista adresów IP)

Błąd w module iSQL Plus

Wersje podatne na zagrożenie:
Oracle 9i – wszystkie wersje włącznie z 9.2.0.2

Data publicznego ujawnienia: 2002-10-31

Opis:
W module iSQL*Plus, który jest jednym z interfejsów web-owych do bazy
Oracle jest błąd, który umożliwia zakłócenie pracy serwera lub wykonanie
dowolnego kodu na serwerze, na którym jest zainstalowany ten moduł. Kod wykona
się z uprawnieniami, z jakimi jest uruchomiony serwis Apache. W standardowej
instalacji jest to użytkownik ‚oracle’ na serwerach unixowych i użytkownik
‚SYSTEM’ na serwerach Windows.
Atak wymaga jedynie zdalnego dostępu do serwera www wchodzącego w skład
Oracle.
Exploit nie został opublikowany, jednak intruz dysponujący pewną dozą wiedzy
jest w stanie go stworzyć.

Stopień zagrożenia: wysoki

Szczegóły techniczne:
Aplikacja stworzona przy użyciu iSQL*Plus zawsze wymaga uwierzytelnienia.
Po próbie dostępu do standardowego URL: „/isqlplus” użytkownik
jest proszony o podanie identyfikatora użytkownika i hasła.
Moduł iSQL*Plus nie sprawdza długości wprowadzonego identyfikatora użytkownika
(zmiennej USERID). W związku z tym możliwy jest atak typu buffer overflow.

Usunięcie zagrożenia:
Łata numer 2581911 (metalink.oracle.com)
Ponadto jest zalecane zmniejszenie przywilejów serwisu WWW – Apache w systemie.

Nowe zagrożenia związane z Apache
(Oracle Web Listener)

Wersje podatne na zagrożenie:
Wszystkie wersje bazy włącznie z 9.2.0.2

Data publicznego ujawnienia: 2002-10-02 – 2002-10-05

Opis:
W serwerze WWW Apache, wykryto trzy nowe drobne zagrożenia.

Stopień zagrożenia: mały

Szczegóły techniczne:
Zagrożenia wiążą się z następującymi funkcjonalnościami serwera
Apache:

  1. Scoreboard
  2. Apache Bench – o ile użyjemy programu ‚ab’ przeciw zarażonemu serwerowi www (program ten służy do testowania komunikacji przez generowanie dużego obciążenia).
  3. Generowanie stron z informacją o błędzie 404 przy wyłączonej opcji UseCanonicalNames

Moduły te są instalowane przez Oracle, jednakże ich
wykorzystanie wymaga lokalnego dostępu do serwera lub wymaga specyficznej
konfiguracji systemu.

Usunięcie zagrożenia:
Łata Oracle nr 2611482 zawiera Apache w wersji 1.3.27. W wersji tej usunięto
błędy nr 1 i 3.
Błąd nr 2 wiąże się z wykorzystywaniem programu ‚ab’ do
generowania obciążeń. Nie jest zalecane używanie tego narzędzia przeciw
serwerom do których nie mamy zaufania.