Das Oracle Critical Patch Update – January 2008 ist raus, und ich denke, wir Datenbänker können aufschnaufen. Betroffen sind praktisch nur Add-On Komponenten wie XML-DB, Advanced Queuing, Spatial und UltraSearch. Einzig DB05 betrifft Upgrade/Downgrade, und ist über Oracle Net exploitable. Es handelt sich wohl um das Problem, dass man während dem Dictionary-Upgrade für einzelne Accounts das Default-Passwort verwenden kann. Der Workaround ist einfach: Listener abstellen während dem Upgrade. Ist sowieso empfohlen!
Comments
5 responses to “Oracle Critical Patch Update January 2008”
Hallo Markus,
beim DB05 handelt es sich um mehrere SQL Injection Lücken in verschiedenen Upgrade-Scripten.
Listener abstellen hilft da leider nicht ;-).
Grüße
Alexander
Habs bei Dir gesehen. Schade. Es hat mich kurz verwirrt, dass Oracle Oracle Net als Protocol angibt, wo ja offensichtlich auch lokale Connects betroffen sind, das ist aber konsistent mit den restlichen Vulnerabilities.
Und natürlich hilft Listener abstellen schon (in den meisten Environments), denn im Normalfall gibt es ausser DBA und root keine User, die lokal connecten können.
Leider hilft das Abstellen des Listeners nicht, da es sich um SQL Injection in den Upgrade Skript handelt.
Die Upgrade Skripte werden lokal vom DBA mit DBA Rechten ausgeführt.
Der “eingefügte” Code stammt aus einem normalen Benutzer, der ein spezielles Datenbankobjekte (Tabelle, View, Policy, …) VOR dem Upgrade angelegt hatte , z.B. CREATE OBJECT “DBA TO X IDENTIFIED BY X–” oder CREATE TABLE “‘ or 1=alex.f1–“.
Ruft der DBA nun das Upgrade Skript auf, wird der Code des Angreifers mit den Rechten des DBA aufgerufen (z.B. grant dba to x identified by x–).
OMG, da war ich *wirklich* kurzsichtig. Hätte Sentrigo Hedgehog hier geholfen, oder sind die während der Migrationsphase abgestellt?
Ja, Hedgehog würde in diesem Falle helfen, da es bereits beim Upgrade aktiv ist. Habe nochmal bei Slavik von Sentrigo nachgefragt.