Januar CPU Preview Update

January 12th, 2007

Kleine Presseschau 24 Stunden nach dem Announcement:

Oracle hat soeben sein Oracle Critical Patch Update Pre-Release Announcement – January 2007 veröffentlicht. Für die Datenbank selbst schreiben sie folgendes:

This Critical Patch Update contains a total of 27 new security fixes for Oracle Database products, 10 of which may be remotely exploitable without authentication, i.e. they may be exploited over a network without the need for a username and password. 1 fix is applicable to Oracle Database client-only installations, i.e. installations that do not have the Oracle Database installed.
The highest CVSS base score of vulnerabilities affecting Oracle Database products is 7.0.
The Oracle Database components affected by vulnerabilities that are fixed in this Critical Patch Update are:

  • Advanced Queuing
  • Advanced Replication
  • Advanced Security Option
  • Change Data Capture
  • Data Guard
  • Export
  • Log Miner
  • NLS Runtime
  • Oracle HTTP Server
  • Oracle Net Services
  • Oracle Process Mgmt & Notification
  • Oracle Spatial
  • Oracle Streams
  • Oracle Text
  • Oracle Workflow Cartridge
  • Recovery Manager
  • XMLDB

Mal sehen, wie die Auguren darauf reagieren! Das Wochenende bietet erst mal Zeit, sich eine Meinung darüber zu machen, ob man diese Information überhaupt schon vorgängig wissen will… (Ach ja, der CPU selbst wird am 16. Januar veröffentlicht)

Oracle und CVSS

December 8th, 2006

Oracle hat sich entschieden, für seine Security Alert Severity Ratings auf CVSS zu wechseln. Das ist nicht unkritisch, da CVSS Servern im Fokus entworfen ist, dies im Gegensatz zum Service-Ansatz, der für Oracles Security Advisories besser geeignet wäre. Mit dem serverbasierten Ansatz kann der Maximalscore nur erreicht werden, wenn der Server als Ganzes kompromittiert ist – bei Oracle höchst unwahrscheinlich, da im Normalfall keine Prozesse unter root laufen, und es deshalb eine Kombination von Exploits bräuchte. Ein Einbruch in die DB ist aber für viele Unternehmen ebenso schwerwiegend wie wenn gleich der Datenbank-Server gehackt ist. Mit CVSS sieht der Manager aber nur ein Rating von 4.2 für den vollen DB-Zugriff anstatt ein Rating von 10 wie beim vollen OS-Zugriff, und ist deshalb versucht, das Problem zu vernachlässigen.
Integrigy schaut im Detail an, wie das zustande kommt: Oracle and CVSS.

Oracle has adopted the Common Vulnerability Scoring System (CVSS) as its standard for communicating the severity of security vulnerabilities in its products.  The critics have already jumped on Oracle for "manipulating" the CVSS scores for the October 2006 Critical Patch Update (CPU) (story here). [...]
The use of CVSS for rating the severity of security vulnerabilities in Oracle products is far from perfect and the resulting scores must be understood to correctly comprehend the risk associated with the patched vulnerabilities. There are three aspects that need to be considered regarding Oracle’s usage of CVSS – (1) the CVSS standard itself, (2) Oracle’s implementation of CVSS, and (3) customers interpretation of the vulnerability scores.

Trotz allem begrüsse ich es, dass Oracle auch wieder mal einen Industriestandard adaptiert, und hoffe, dass sie in Zukunft im Standards Body von CVSS mitarbeiten, um dem Servicebasierten Bewertungsansatz erfolgreich einbringen zu können, ohne die Einfachheit von CVSS zu verlieren.

Best of Oracle Security 2006

December 5th, 2006

Alex Kornbrust hat ein neues Whitepaper zum Thema Best of Oracle Security 2006 (PDF). Darin beschreibt er unter anderem auch, wie einfach es war, den im Januar CPU geflickten DB18 zu exploiten:

Nach einem erfolgreichen Login gegen eine Oracle Datenbank, setzt Oracle den NLS-Parameter mittels eines “ALTER SESSION SET NLS…”-Befehls. Dieser Befehl wird im Kontext des SYS Benutzers ausgeführt. Dieser “ALTER SESSION”-Befehl wird vom nicht vertrauenswürdigen Datenbank-Client and die Datenbank gesendet. Öffnen Sie die Datei oraclient9.dll oder oraclient10.dll und suchen Sie nach dem ALTER SESSION Befehl. Ersetzen Sie den “ALTER SESSION”-Befehl mit “GRANT DBA TO PUBLIC–“ und speichern Sie die DLL ab. An der Datenbank anmelden und durch den Login die Privilegien eskalieren. Nach dem erneuten Login sind alle Benutzer DBA.

Wie waren wir doch damals naiv, als wir dachten, jemand müsse sich einen eigenen Client programmieren, wenn er diesen Bug exploiten wolle…

Oracle #68

December 24th, 2004

Oracles Security Alert hat nicht nur bei uns zu grösseren Aufwänden geführt, am schlimmsten war aber die Drohung von NGSSoftware, am 31. November (nb: der November hat 30 Tage) genauere Informationen zu veröffentlichen, verbunden mit der Meinung vieler Leute bei uns, dass sich mit diesen Informationen Oracle Exploits programmieren lassen, welche ohne gültigen Oracle- oder wenigstens lokalen User auskommen. Der Dezember kam, aber keine Informationen von NGSS. Erst jetzt ist die Katze aus dem Sack: NGSSoftware Oracle Vulnerabilities. Einige der Vulnerabilities betreffen den External Procedures Listener, und seien ohne Authentisierung exploitable! Ich kann es nur immer wieder sagen: extproc muss unter Unix als nobody:nobody laufen (ab Oracle 10g der Default)!
Und weshalb hat David Litchfield die Information erst jetzt veröffentlicht? Niemand weiss es, aber offensichtlich sind die Jungs von NGSS schon wieder im Urlaub, denn die angegebenen Links zu den Informationen auf ihrer Homepage funktionieren nicht – bisher gibt’s nur das Mailarchiv als Referenz.