Oracle Critical Patch Update January 2008

January 15th, 2008

Das Oracle Critical Patch Update – January 2008 ist raus, und ich denke, wir Datenbänker können aufschnaufen. Betroffen sind praktisch nur Add-On Komponenten wie XML-DB, Advanced Queuing, Spatial und UltraSearch. Einzig DB05 betrifft Upgrade/Downgrade, und ist über Oracle Net exploitable. Es handelt sich wohl um das Problem, dass man während dem Dictionary-Upgrade für einzelne Accounts das Default-Passwort verwenden kann. Der Workaround ist einfach: Listener abstellen während dem Upgrade. Ist sowieso empfohlen!

Related posts:

  1. Oracle Critical Patch Update Pre-Release Announcement – January 2007
  2. Critical Patch Update October 2007 Pre-Release Announcement
  3. Critical Patch Update January 2008 Pre-Release Announcement
  4. Oracle Critical Patch Update July 2008 Pre-Release Analysis
  5. Oracle January 2007 CPU
Posted by maol
Filed in Technology
5 Comments »

5 Responses to “Oracle Critical Patch Update January 2008”

  1. Alexander Kornbrust Says:
    January 15th, 2008 at 23:31

    Hallo Markus,

    beim DB05 handelt es sich um mehrere SQL Injection Lücken in verschiedenen Upgrade-Scripten.

    Listener abstellen hilft da leider nicht ;-).

    Grüße

    Alexander

  2. maol Says:
    January 15th, 2008 at 23:44

    Habs bei Dir gesehen. Schade. Es hat mich kurz verwirrt, dass Oracle Oracle Net als Protocol angibt, wo ja offensichtlich auch lokale Connects betroffen sind, das ist aber konsistent mit den restlichen Vulnerabilities.
    Und natürlich hilft Listener abstellen schon (in den meisten Environments), denn im Normalfall gibt es ausser DBA und root keine User, die lokal connecten können.

  3. Alexander Kornbrust Says:
    January 16th, 2008 at 07:24

    Leider hilft das Abstellen des Listeners nicht, da es sich um SQL Injection in den Upgrade Skript handelt.

    Die Upgrade Skripte werden lokal vom DBA mit DBA Rechten ausgeführt.

    Der “eingefügte” Code stammt aus einem normalen Benutzer, der ein spezielles Datenbankobjekte (Tabelle, View, Policy, …) VOR dem Upgrade angelegt hatte , z.B. CREATE OBJECT “DBA TO X IDENTIFIED BY X–” oder CREATE TABLE “‘ or 1=alex.f1–“.

    Ruft der DBA nun das Upgrade Skript auf, wird der Code des Angreifers mit den Rechten des DBA aufgerufen (z.B. grant dba to x identified by x–).

  4. maol Says:
    January 16th, 2008 at 23:51

    OMG, da war ich *wirklich* kurzsichtig. Hätte Sentrigo Hedgehog hier geholfen, oder sind die während der Migrationsphase abgestellt?

  5. Alexander Kornbrust Says:
    January 17th, 2008 at 21:25

    Ja, Hedgehog würde in diesem Falle helfen, da es bereits beim Upgrade aktiv ist. Habe nochmal bei Slavik von Sentrigo nachgefragt.