[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Boletin de Seguridad UNAM-CERT 2003-005
Multiples Vulnerabilidades en los Servidores Oracle
------------------------------------------------------------------
El *CERT/UNAM-CERT*, a traves de sus equipos de respuesta a
incidentes de *Seguridad en Computo*, han emitido este boletin en el
cual informan de la existencia de multiples vulnerabilidades en el
software de Oracle, las cuales pueden llevar a una ejecucion de
codigo arbitrario; la habilidad de leer, modificar o borrar la
informacion almacenada es la Base de Datos de Oracle; o negacion de
servicio. Todas estas vulnerabilidades fueron encontradas por Next
Generation Security Software Ltd <http://www.nextgenss.com/>.
Fecha de Liberacion: 19 de Febrero de 2003
Ultima Revision: ---
Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a
Incidentes.
SISTEMAS AFECTADOS
------------------
* Sistemas ejecutando Oracle9i Database (Release 1 y 2)
* Sistemas ejecutando Oracle8i Database v 8.1.7
* Sistemas ejecutando Oracle8 Database v 8.0.6
* Sistemas ejecutando Oracle9i Application Server (Release 9.0.2
y 9.0.3)
DESCRIPCION
-----------
Multiples vulnerabilidades existen en Oracle9i Application Server
<http://www.oracle.com/ip/deploy/ias/>, Oracle9i Database
<http://www.oracle.com/ip/deploy/database/oracle9i/>, y Oracle8i
Database <http://www.oracle.com/ip/deploy/database/8i/content.html>.
La mayorÝa de estas vulnerabilidades son buffer overflows.
Oracle ha publicado alertas de seguridad describiendo estas
vulnerabilidades. Si utiliza productos de Oracle listados en la de
secci¾n *Sistemas Afectados* de este documento, se le recomienda que
revise las siguientes Alertas de seguridad del Oracle y que aplique
las actualizaciones apropiadas.
* Buffer Overflow en el parßmetro de DIRECTORY de Oracle9i
Database Server
http://otn.oracle.com/deploy/security/pdf/2003alert48.pdf
* Buffer Overflow en la funci¾n TZ_OFFSET de Oracle9i Database
Server
http://otn.oracle.com/deploy/security/pdf/2003alert49.pdf
* Buffer Overflow en la funci¾n TO_TIMESTAMP_TZ de Oracle9i
Database Server
http://otn.oracle.com/deploy/security/pdf/2003alert50.pdf
* Buffer Overflow en el binario ORACLE.EXE de Oracle9i Database
Server
http://otn.oracle.com/deploy/security/pdf/2003alert51.pdf
* Dos Vulnerabilidades en Oracle9i Application Server
http://otn.oracle.com/deploy/security/pdf/2003alert52.pdf
NGSSoftware Insight Security Research Advisories
<http://www.nextgenss.com/research/advisories.html> describen estos
problemas en:
* Vulnerabilidad de Formato de Cadena en Oracle9i Application Server
http://www.nextgenss.com/advisories/ora-appservfmtst.txt
* Buffer Overrun Remoto Oracle TO_TIMESTAMP_TZ Remote System
http://www.nextgenss.com/advisories/ora-tmstmpbo.txt
* Vulnerabilidad de Buffer Overflow en la Funci¾n bfilename de
ORACLE
http://www.nextgenss.com/advisories/ora-bfilebo.txt
* Oracle TZ_OFFSET Remote System Buffer Overrun
http://www.nextgenss.com/advisories/ora-tzofstbo.txt
* Sistema Comprometido Remotamente por Falta de Autenticacion de
Oracle
http://www.nextgenss.com/advisories/ora-unauthrm.txt
El CERT/UNAM-CERT ha publicado tambiÚn Notas de Vulnerabilidad
<http://www.kb.cert.org/vuls/byid?searchview&query=VU%23743954+or+VU%23511194+or+VU%23840666+or+VU%23953746+or+VU%23849993+or+VU%23663786>
donde describe las vulnerabilidades para cada uno de estos
problemas. La vulnerabilidad en el m¾dulo mod_dav
<http://www.webdav.org/mod_dav/> m de Oracle (VU#849993
<http://www.kb.cert.org/vuls/id/849993>) se le ha asignado el ID
CAN-2002-0842
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0842> por el
grupo CVE.
IMPACTO
-------
Dependiendo de la vulnerabilidad explotada, un intruso podrÝa ser
capaz de ejecutar c¾digo arbitrario; leer, modificar, ¾ borrar
informaci¾n almacenada en la Bases de Datos Oracle; o causar una
Negaci¾n de Servicio. Las vulnerabilidades en "ORACLE.EXE"
(VU#953746 <http://www.kb.cert.org/vuls/id/953746>) y en los m¾dulos
WebDAV <http://www.webdav.org/mod_dav/> (VU#849993
<http://www.kb.cert.org/vuls/id/849993>, VU#511194
<http://www.kb.cert.org/vuls/id/511194>) pueden ser explotadas antes
de la autenticaci¾n.
SOLUCION
--------
* Aplicar una Actualizacion del Distribuidor.
Soluciones para vulnerabilidades especÝficas podrßn ser encontradas
mßs adelante en las: Oracle Security Alerts, NGSSoftware Insight
Security Research Advisories, y Notas de Vulnerabilidad del CERT/CC.
* Estrategias de Reduccion
Hasta que pueda ser aplicada una actualizaci¾n, el CERT/UNAM-CERT
recomiendan lo siguiente:
* Deshabilitar servicios innecesarios de Oracle.
* Ejecutar servicios de Oracle con los menores privilegios.
* Restringir el acceso por red a los servicios de Oracle.
APENDICE A. Informacion Adicional
----------------------------------
Este ApÚndice contiene informaci¾n que puede ser œtil para aquellos
administradores de sistemas que administren redes corporativas y les
pueda servir a detectar con mayor rapidez en sus redes dichos
servidores comprometidos.
* Oracle Corporation <http://www.oracle.com/>
Se pueden consultar los siguientes Oracle Security Alerts:
* http://otn.oracle.com/deploy/security/pdf/2003alert48.pdf
* http://otn.oracle.com/deploy/security/pdf/2003alert49.pdf
* http://otn.oracle.com/deploy/security/pdf/2003alert50.pdf
* http://otn.oracle.com/deploy/security/pdf/2003alert51.pdf
* http://otn.oracle.com/deploy/security/pdf/2003alert52.pdf
APENDICE B.- Referencias
------------------------
* http://otn.oracle.com/deploy/security/pdf/2003alert48.pdf
* http://otn.oracle.com/deploy/security/pdf/2003alert49.pdf
* http://otn.oracle.com/deploy/security/pdf/2003alert50.pdf
* http://otn.oracle.com/deploy/security/pdf/2003alert51.pdf
* http://otn.oracle.com/deploy/security/pdf/2003alert52.pdf
* http://www.nextgenss.com/advisories/ora-appservfmtst.txt
* http://www.nextgenss.com/advisories/ora-tmstmpbo.txt
* http://www.nextgenss.com/advisories/ora-bfilebo.txt
* http://www.nextgenss.com/advisories/ora-tzofstbo.txt
* http://www.nextgenss.com/advisories/ora-unauthrm.txt
* http://www.kb.cert.org/vuls/id/743954
* http://www.kb.cert.org/vuls/id/953746
* http://www.kb.cert.org/vuls/id/663786
* http://www.kb.cert.org/vuls/id/840666
* http://www.kb.cert.org/vuls/id/511194
* http://www.kb.cert.org/vuls/id/849993
* http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0842
INFORMACION
-----------
Este documento se encuentra disponible en su formato original en la
siguiente direccion:
http://www.cert.org/advisories/CA-2003-05.html
Para mayor informacion acerca de este boletin de seguridad contactar
a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : seguridad en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
- --
Juan Carlos Guel Lopez
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
Charset: cp850
iQEVAwUBPlRLUHAvLUtwgRsVAQFu0wgAl5ihbRJaVPMh/hSiBYylHzeL9T+CKBRC
oxL1MT8wCbpS9D/gYoV+b3zXIIeW33+B2qgpXAPTrCYzy2ozQ9izOOqm9s7A+Chi
aU2l0KFzbLR4uvUVSMIafmVDVSMXrZn71P8KR9cW25xoL6bkTJed/yQqoaaUtB8o
qa6klo3LsQvdq1RWl/Wehng16SFj+e9o8O9KgRkqK3E/kXiar0guNaa3GfG7oV1Y
n+4ae286JoCBqx1cLh05LSHxrh8LNmMMvGuCEimxJLFwbV/ogvo/EYYRjFYMcWEd
vtP6d+9050q/Cp8zn8zIQeW3n1mt5BBcZkq8JcyptX/NAGpB+UdVAw==
=q5wN
-----END PGP SIGNATURE-----
_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/