Biuletyn Bezpieczeństwa PLOUG od 2002-11-26 do 2003-02-06

Wojciech Dworakowski
wojtekd@securing.pl

W tym okresie zostały ujawnione jedynie trzy, ale za to
bardzo poważne zagrożenia. Przy czym dwa pierwsze są prawdopodobnie innymi
sposobami wykorzystania jednego błędu.

Wszystkie zagrożenia dotyczą Oracle 9iAS i zostały opisane
w jednym dokumencie (Oracle Security Alert nr 47). Opis zagrożeń w tym
dokumencie jest bardzo lakoniczny, jednak błędy OC4J łatwo jest skorelować z
podobnymi błędami jakie ostatnio wystąpiły w „bliźniaczym”
oprogramowaniu Apache Tomcat. Oracle zapewnia o 100% przenaszalności aplikacji
Tomcat na OC4J. Jak widać błędy są również przenaszalne ;).

Możliwość ujawnienia kodu źródłowego stron JSP

Wersje podatne na zagrożenie:

według producenta podatna jest tylko wersja Oracle 9i AS
release 2 (9.0.2.0.0).
Geneza błędu wskazuje jednak, że mogą być podatne
wszystkie wersje, które zawierają OC4J.

Data publicznego ujawnienia:
2002-12-19

Opis:

Strony JSP zgromadzone na serwerze aplikacji są podatne na
ujawnienie ich kodu źródłowego.

Stopień zagrożenia: duży

Szczegóły techniczne:

Oracle podało bardzo niewiele informacji o charakterystyce błędu.
Prawdopodobnie, jest to ten sam błąd który został ostatnio odkryty w
serwerze JSP – Tomcat, dzięki czemu mogę podać więcej szczegółów
technicznych.
Bieżące wersje oprogramowania Tomcat nieprawidłowo
interpretują występowanie w zleceniu HTTP znaków „backslash” i
„null-byte” (kod ascii – 00). Doklejając w odpowiedni sposób te
znaki do nazwy skryptu JSP, intruz może spowodować że skrypt JSP zostanie
zinterpretowany przez serwer jako statyczna strona HTML i w rezultacie zwróci
kod źródłowy skryptu JSP, a nie rezultat jego wykonania.

Usunięcie zagrożenia:

Upgrade do wersji 9.0.2.0.1

Możliwość pozyskania zawartości katalogu WEB-INF (OC4J)

Wersje podatne na zagrożenie:

według producenta podatna jest tylko wersja Oracle 9i AS
release 2 (9.0.2.0.0).
Geneza błędu wskazuje jednak, że mogą być podatne
wszystkie wersje, które zawierają OC4J.

Data publicznego ujawnienia:
2002-12-19

Opis:

Intruz może ominąć uprawnienia serwisu WWW i uzyskać dostęp
do podkatalogu WEB-INF, zawierającego informacje administracyjne oraz źródła
klas Java.
Prawdopodobnie – może również uzyskać dostęp do
innych, zabronionych katalogów.

Stopień zagrożenia: duży

Szczegóły techniczne:

Prawdopodobnie jest to inny sposób wykorzystania
poprzedniego błędu związanego z nieprawidłową interpretacją znaków
„null-byte” i „backslash”.
Informacje udostępnione przez Oracle mówią tylko o możliwości pozyskania
zawartości katalogu WEB-INF. W rzeczywistości, dzięki tej luce intruz może
pozyskać zawartość dowolnego katalogu serwisu, do którego w normalnych
okolicznościach nie powinien mieć dostępu. Katalog WEB-INF jest jedynie przykładem.
W podobny sposób można wykorzystać tę lukę do uzyskania listy plików w
katalogu serwisu WWW, pomimo istnienia w nim pliku index.html lub index.jsp.

Usunięcie zagrożenia:

Upgrade do wersji 9.0.2.0.1

Nieprawidłowe uprawnienia systemowe w standardowej instalacji 9iAS v1

Wersje podatne na zagrożenie:

Oracle 9i AS 1.0.2.2 – Windows
Uwaga: nie jest jasne, czy błąd występuje również we
wszystkich pozostałych wersjach aż do 9.0.2.

Data publicznego ujawnienia:
2002-12-19

Opis:

Wszystkie pliki instalowane przez Oracle 9iAS mają w Windows
uprawnienia Everyone/FullControl.

Stopień zagrożenia: duży

Szczegóły techniczne:

Wszystkie pliki w $ORACLE_HOME mają uprawnienia Everyone/FullControl.
Umożliwia to dowolne modyfikowanie lub kasowanie plików (z danymi i
konfiguracyjnych) przez dowolnego użytkownika systemu operacyjnego, w tym przez
inne procesy i serwisy.

Usunięcie zagrożenia:

Ustawienie uprawnień NTFS na pełną kontrolę (Full Control)
dla grupy „Administrators” i zabranie wszystkich uprawnień dla
pozostałych użytkowników.
Błąd został poprawiony w wersji 9.0.2.0.1