[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- ------------------------------------------------------------------ UNAM-CERT Departamento de Seguridad en Computo DGSCA- UNAM Boletin de Seguridad UNAM-CERT 2003-005 Multiples Vulnerabilidades en los Servidores Oracle ------------------------------------------------------------------ El *CERT/UNAM-CERT*, a traves de sus equipos de respuesta a incidentes de *Seguridad en Computo*, han emitido este boletin en el cual informan de la existencia de multiples vulnerabilidades en el software de Oracle, las cuales pueden llevar a una ejecucion de codigo arbitrario; la habilidad de leer, modificar o borrar la informacion almacenada es la Base de Datos de Oracle; o negacion de servicio. Todas estas vulnerabilidades fueron encontradas por Next Generation Security Software Ltd <http://www.nextgenss.com/>. Fecha de Liberacion: 19 de Febrero de 2003 Ultima Revision: --- Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes. SISTEMAS AFECTADOS ------------------ * Sistemas ejecutando Oracle9i Database (Release 1 y 2) * Sistemas ejecutando Oracle8i Database v 8.1.7 * Sistemas ejecutando Oracle8 Database v 8.0.6 * Sistemas ejecutando Oracle9i Application Server (Release 9.0.2 y 9.0.3) DESCRIPCION ----------- Multiples vulnerabilidades existen en Oracle9i Application Server <http://www.oracle.com/ip/deploy/ias/>, Oracle9i Database <http://www.oracle.com/ip/deploy/database/oracle9i/>, y Oracle8i Database <http://www.oracle.com/ip/deploy/database/8i/content.html>. La mayorÝa de estas vulnerabilidades son buffer overflows. Oracle ha publicado alertas de seguridad describiendo estas vulnerabilidades. Si utiliza productos de Oracle listados en la de secci¾n *Sistemas Afectados* de este documento, se le recomienda que revise las siguientes Alertas de seguridad del Oracle y que aplique las actualizaciones apropiadas. * Buffer Overflow en el parßmetro de DIRECTORY de Oracle9i Database Server http://otn.oracle.com/deploy/security/pdf/2003alert48.pdf * Buffer Overflow en la funci¾n TZ_OFFSET de Oracle9i Database Server http://otn.oracle.com/deploy/security/pdf/2003alert49.pdf * Buffer Overflow en la funci¾n TO_TIMESTAMP_TZ de Oracle9i Database Server http://otn.oracle.com/deploy/security/pdf/2003alert50.pdf * Buffer Overflow en el binario ORACLE.EXE de Oracle9i Database Server http://otn.oracle.com/deploy/security/pdf/2003alert51.pdf * Dos Vulnerabilidades en Oracle9i Application Server http://otn.oracle.com/deploy/security/pdf/2003alert52.pdf NGSSoftware Insight Security Research Advisories <http://www.nextgenss.com/research/advisories.html> describen estos problemas en: * Vulnerabilidad de Formato de Cadena en Oracle9i Application Server http://www.nextgenss.com/advisories/ora-appservfmtst.txt * Buffer Overrun Remoto Oracle TO_TIMESTAMP_TZ Remote System http://www.nextgenss.com/advisories/ora-tmstmpbo.txt * Vulnerabilidad de Buffer Overflow en la Funci¾n bfilename de ORACLE http://www.nextgenss.com/advisories/ora-bfilebo.txt * Oracle TZ_OFFSET Remote System Buffer Overrun http://www.nextgenss.com/advisories/ora-tzofstbo.txt * Sistema Comprometido Remotamente por Falta de Autenticacion de Oracle http://www.nextgenss.com/advisories/ora-unauthrm.txt El CERT/UNAM-CERT ha publicado tambiÚn Notas de Vulnerabilidad <http://www.kb.cert.org/vuls/byid?searchview&query=VU%23743954+or+VU%23511194+or+VU%23840666+or+VU%23953746+or+VU%23849993+or+VU%23663786> donde describe las vulnerabilidades para cada uno de estos problemas. La vulnerabilidad en el m¾dulo mod_dav <http://www.webdav.org/mod_dav/> m de Oracle (VU#849993 <http://www.kb.cert.org/vuls/id/849993>) se le ha asignado el ID CAN-2002-0842 <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0842> por el grupo CVE. IMPACTO ------- Dependiendo de la vulnerabilidad explotada, un intruso podrÝa ser capaz de ejecutar c¾digo arbitrario; leer, modificar, ¾ borrar informaci¾n almacenada en la Bases de Datos Oracle; o causar una Negaci¾n de Servicio. Las vulnerabilidades en "ORACLE.EXE" (VU#953746 <http://www.kb.cert.org/vuls/id/953746>) y en los m¾dulos WebDAV <http://www.webdav.org/mod_dav/> (VU#849993 <http://www.kb.cert.org/vuls/id/849993>, VU#511194 <http://www.kb.cert.org/vuls/id/511194>) pueden ser explotadas antes de la autenticaci¾n. SOLUCION -------- * Aplicar una Actualizacion del Distribuidor. Soluciones para vulnerabilidades especÝficas podrßn ser encontradas mßs adelante en las: Oracle Security Alerts, NGSSoftware Insight Security Research Advisories, y Notas de Vulnerabilidad del CERT/CC. * Estrategias de Reduccion Hasta que pueda ser aplicada una actualizaci¾n, el CERT/UNAM-CERT recomiendan lo siguiente: * Deshabilitar servicios innecesarios de Oracle. * Ejecutar servicios de Oracle con los menores privilegios. * Restringir el acceso por red a los servicios de Oracle. APENDICE A. Informacion Adicional ---------------------------------- Este ApÚndice contiene informaci¾n que puede ser œtil para aquellos administradores de sistemas que administren redes corporativas y les pueda servir a detectar con mayor rapidez en sus redes dichos servidores comprometidos. * Oracle Corporation <http://www.oracle.com/> Se pueden consultar los siguientes Oracle Security Alerts: * http://otn.oracle.com/deploy/security/pdf/2003alert48.pdf * http://otn.oracle.com/deploy/security/pdf/2003alert49.pdf * http://otn.oracle.com/deploy/security/pdf/2003alert50.pdf * http://otn.oracle.com/deploy/security/pdf/2003alert51.pdf * http://otn.oracle.com/deploy/security/pdf/2003alert52.pdf APENDICE B.- Referencias ------------------------ * http://otn.oracle.com/deploy/security/pdf/2003alert48.pdf * http://otn.oracle.com/deploy/security/pdf/2003alert49.pdf * http://otn.oracle.com/deploy/security/pdf/2003alert50.pdf * http://otn.oracle.com/deploy/security/pdf/2003alert51.pdf * http://otn.oracle.com/deploy/security/pdf/2003alert52.pdf * http://www.nextgenss.com/advisories/ora-appservfmtst.txt * http://www.nextgenss.com/advisories/ora-tmstmpbo.txt * http://www.nextgenss.com/advisories/ora-bfilebo.txt * http://www.nextgenss.com/advisories/ora-tzofstbo.txt * http://www.nextgenss.com/advisories/ora-unauthrm.txt * http://www.kb.cert.org/vuls/id/743954 * http://www.kb.cert.org/vuls/id/953746 * http://www.kb.cert.org/vuls/id/663786 * http://www.kb.cert.org/vuls/id/840666 * http://www.kb.cert.org/vuls/id/511194 * http://www.kb.cert.org/vuls/id/849993 * http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0842 INFORMACION ----------- Este documento se encuentra disponible en su formato original en la siguiente direccion: http://www.cert.org/advisories/CA-2003-05.html Para mayor informacion acerca de este boletin de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : seguridad en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 - -- Juan Carlos Guel Lopez UNAM-CERT Equipo de Respuesta a Incidentes UNAM DGSCA, UNAM E-mail: unam-cert en seguridad unam mx Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43 Del. Coyoacan WWW: http://www.seguridad.unam.mx 04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 Charset: cp850 iQEVAwUBPlRLUHAvLUtwgRsVAQFu0wgAl5ihbRJaVPMh/hSiBYylHzeL9T+CKBRC oxL1MT8wCbpS9D/gYoV+b3zXIIeW33+B2qgpXAPTrCYzy2ozQ9izOOqm9s7A+Chi aU2l0KFzbLR4uvUVSMIafmVDVSMXrZn71P8KR9cW25xoL6bkTJed/yQqoaaUtB8o qa6klo3LsQvdq1RWl/Wehng16SFj+e9o8O9KgRkqK3E/kXiar0guNaa3GfG7oV1Y n+4ae286JoCBqx1cLh05LSHxrh8LNmMMvGuCEimxJLFwbV/ogvo/EYYRjFYMcWEd vtP6d+9050q/Cp8zn8zIQeW3n1mt5BBcZkq8JcyptX/NAGpB+UdVAw== =q5wN -----END PGP SIGNATURE----- _______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/