Oracle Critical Patch Update January 2008
January 15th, 2008
Das Oracle Critical Patch Update – January 2008 ist raus, und ich denke, wir Datenbänker können aufschnaufen. Betroffen sind praktisch nur Add-On Komponenten wie XML-DB, Advanced Queuing, Spatial und UltraSearch. Einzig DB05 betrifft Upgrade/Downgrade, und ist über Oracle Net exploitable. Es handelt sich wohl um das Problem, dass man während dem Dictionary-Upgrade für einzelne Accounts das Default-Passwort verwenden kann. Der Workaround ist einfach: Listener abstellen während dem Upgrade. Ist sowieso empfohlen!
January 15th, 2008 at 23:31
Hallo Markus,
beim DB05 handelt es sich um mehrere SQL Injection Lücken in verschiedenen Upgrade-Scripten.
Listener abstellen hilft da leider nicht ;-).
Grüße
Alexander
January 15th, 2008 at 23:44
Habs bei Dir gesehen. Schade. Es hat mich kurz verwirrt, dass Oracle Oracle Net als Protocol angibt, wo ja offensichtlich auch lokale Connects betroffen sind, das ist aber konsistent mit den restlichen Vulnerabilities.
Und natürlich hilft Listener abstellen schon (in den meisten Environments), denn im Normalfall gibt es ausser DBA und root keine User, die lokal connecten können.
January 16th, 2008 at 07:24
Leider hilft das Abstellen des Listeners nicht, da es sich um SQL Injection in den Upgrade Skript handelt.
Die Upgrade Skripte werden lokal vom DBA mit DBA Rechten ausgeführt.
Der “eingefügte” Code stammt aus einem normalen Benutzer, der ein spezielles Datenbankobjekte (Tabelle, View, Policy, …) VOR dem Upgrade angelegt hatte , z.B. CREATE OBJECT “DBA TO X IDENTIFIED BY X–” oder CREATE TABLE “‘ or 1=alex.f1–“.
Ruft der DBA nun das Upgrade Skript auf, wird der Code des Angreifers mit den Rechten des DBA aufgerufen (z.B. grant dba to x identified by x–).
January 16th, 2008 at 23:51
OMG, da war ich *wirklich* kurzsichtig. Hätte Sentrigo Hedgehog hier geholfen, oder sind die während der Migrationsphase abgestellt?
January 17th, 2008 at 21:25
Ja, Hedgehog würde in diesem Falle helfen, da es bereits beim Upgrade aktiv ist. Habe nochmal bei Slavik von Sentrigo nachgefragt.