[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- ------------------------------------------------------------------ UNAM-CERT Departamento de Seguridad en Computo DGSCA- UNAM Boletin de Seguridad UNAM-CERT 2002-008 Multiples Vulnerabilidades en los Servidores Oracle ------------------------------------------------------------------ El CERT/UNAM-CERT, a través de sus equipos de respuesta a incidentes de Seguridad en Cómputo, han emitido éste boletín en el cual informan de la existencia de múltiples vulnerabilidades en Oracle Application Server que han sido descubiertas recientemente. El CERT/UNAM-CERT señala que estas vulnerabilidades incluyen buffers overflow, configuraciones por default inseguras, fallas para reforzar controles de acceso, y fallas de validación de entrada. Los impactos de estas vulnerabilidades incluyen la ejecución de comandos y código, negación de servicio, y acceso no autorizado a información sensitiva. Fecha de Liberación: 14 de Marzo de 2002 Ultima Revisión: 18 de Marzo de 2002 Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes. SISTEMAS AFECTADOS - ------------------ Sistemas ejecutando Oracle8i Database Sistemas ejecutando Oracle9i Database Sistemas ejecutando Oracle9i Application Server DESCRIPCIÓN - ----------- Oracle Application Server incluye un servidor web basado en el Apache HTTP Server. Oracle amplía los componentes del servidor web con un número de diferentes componentes que pueden ser utilizados para proporcionar interfaces a las aplicaciones de bases de datos. Estos componentes incluyen, pero no son limitados a, un módulo PS/SQL (Procedural Language/Structured Query Language), Java Server Pages, XSQL Servlets, y aplicaciones SOAP (Simple Object Acces Protocol). Las vulnerabilidades referenciadas en éste boletín fueron reportadas por David Litchfield de NGSSoftware: Hackproofing Oracle Application Server http://www.nextgenss.com/papers/hpoas.pdf NGSSoftware Insight Security Research Advisory #NISR20122001 http://www.nextgenss.com/advisories/plsql.txt NGSSoftware Insight Security Research Advisory #NISR06022002A http://www.nextgenss.com/advisories/oraplsextproc.txt NGSSOftware Insight Security Research Advisory #NISR06022002B http://www.nextgenss.com/advisories/oraplsbos.txt NGSSoftware Insight Security Research Advisory #NISR06022002C http://www.nextgenss.com/advisories/orajsa.txt http://www.nextgenss.com/advisories/orajsp.txt Para obtener una lista completa de las vulnerabilidad relacionadas con Oracle publicadas por el CERT, consulte la Base de Datos de Vulnerabilidades. Buffer Overflows - --------------- Varias vulnerabilidades de buffer overflow existen en la manera en como el módulo PL/SQL maneja los requerimientos y parámetros de configuración. Las configuraciones establecidas por default en un rango de componentes son inseguras, y diferentes componentes fallan al aplicar uniformemente las restricciones de acceso. Estas vulnerabilidades ponen en riesgo al sistema ejecutando el Oracle Application Server y la información almacenada en las bases de datos fundamentales. Dos o más vulnerabilidades de buffer overflow existen en el código que procesa los parámetros de configuración. Estos parámetros procesan parámetros de configuración que pueden ser especificados por medio de la interface de administración de web del gateway PL/SQL. Por default, el acceso a la interface de administración de web del gateway PL/SQL no está restringida [ VU#611776]. VU#500203 - Módulo PL/SQL de Oracle9i Application Server Apache es Vulnerable a un Buffer Overflow en los Requerimientos de Páginas de Ayuda. VU#313280 - Módulo PL/SQL de Oracle9i Application Server Apache es Vulnerable a un Buffer Overflow en la Cabecera de Localización HTTP. VU#750299 - Módulo PL/SQL de Oracle9i Application Server Apache es Vulnerable a un Buffer Overflow en los Requerimientos HTTP. VU#878603 - Módulo PL/SQL de Oracle9i Application Server Apache es Vulnerable a un Buffer Overflow en la Cabecera de Autorización HTTP. VU#659043 - Módulo PL/SQL de Oracle9i Application Server Apache es Vulnerable a un Buffer Overflow en el Password del Descriptor de Acceso a la Base de Datos. VU#923395 - Módulo PL/SQL de Oracle9i Application Server Apache es Vulnerable a un Buffer Overflow en el Nombre de Directorio Cache. * Configuraciones por Default Inseguras La instalación por default de Oracle Application Server incluye un número de configuraciones inseguras, como por ejemplo passwords conocidos por default y acceso no restringido a aplicaciones e información sensitiva. VU#307835 - Procedimientos OWA_UTIL de Oracle9i Application Server Exponen Información Sensitiva. VU#736923 - Componentes SOAP de Oracle 9iAS SOAP Permiten que Usuarios Anónimos Ejecuten Aplicaciones por Default. VU#611776 - Interface de Administración Web del Gateway PL/SQL de Oracle9i Application Server Utiliza Autenticación Nula por Default. VU#698467 - Configuración por Default de Oracle 9iAS Permite Acceso al Archivo "globals.jsa". VU#476619 - Configuración por Default de Oracle 9iAS Permite que Usuarios Arbitrarios Vean Archivos de Configuración Sensitivos. VU#712723 - Configuración por Default de Oracle 9iAS Utiliza Passwords Conocidos por Default. VU#168795 - Oracle 9iAS Permite a Usuarios Anónimos Remotos Ver por Default Servicios de Apache Sensitivos. VU#278971 - Oracle 9i Application Server No Maneja Adecuadamente Requerimientos de Archivos JSP Inexistentes Revelando la Ruta del Directorio Web. * Fallas para Reforzar el Control de Acceso Oracle Application Server no refuerza uniformemente restricciones de acceso. Diferentes componentes no verifican adecuadamente la autorización antes de otorgar el acceso a recursos protegidos. VU#180147 - Módulo PL/SQL de Oracle 9i Database Server Permite la Ejecución de Comandos Remotos sin Autenticación. VU#193523 - Oracle 9i Application Server Permite Acceso No Autenticado a Aplicaciones PL/SQL por medio del Descriptor de Acceso a la Base de Datos Alterno. VU#977251 - Oracle 9iAS XSQL Servlet Ignora Permisos de Archivos Permitiendo a Usuarios Arbitrarios Ver Archivos de Configuración Sensitivos. VU#547459 - Oracle 9iAS Crea Archivos Temporales Cuando Procesa Requerimientos que son Leíbles por Cualquier Usuario. * Falla de Validación de Entrada En un caso, el módulo PL/SQL no maneja apropiadamente un requerimiento HTTP mal formado. VU#805915 - Módulo PL/SQL de Oracle9i Application Server Apache No Maneja Apropiadamente la Cabecera de Autorización HTTP. IMPACTO - ------- El impacto de estas vulnerabilidades incluye la ejecución de código, ejecución remota de comandos y requerimientos SQL, revelación de información sensitiva, y negación de servicio. * Ejecución Remota de Comandos y Código Esta sección contiene vulnerabilidades que permiten a un intruso remoto causar una negación de servicio o ejecutar código, comandos o solicitudes en el sistema. Algunas de estas vulnerabilidades permiten la ejecución con los privilegios del proceso de Apache. En los sistemas UNIX, el proceso de Apache típicamente se ejecuta como el usuario "oracle". En los sistemas Windows, el servicio de Apaches se ejecuta típicamente como usuario SYSTEM; de esta manera, un intruso podría obtener el control total del sistema explotando estas vulnerabilidades. VU#500203 - Módulo PL/SQL de Oracle9i Application Server Apache es Vulnerable a un Buffer Overflow en los Requerimientos de Páginas de Ayuda. VU#313280 - Módulo PL/SQL de Oracle9i Application Server Apache es Vulnerable a un Buffer Overflow en la Cabecera de Localización HTTP. VU#750299 - Módulo PL/SQL de Oracle9i Application Server Apache es Vulnerable a un Buffer Overflow en los Requerimientos HTTP. VU#878603 - Módulo PL/SQL de Oracle9i Application Server Apache es Vulnerable a un Buffer Overflow en la Cabecera de Autorización HTTP. VU#659043 - Módulo PL/SQL de Oracle9i Application Server Apache es Vulnerable a un Buffer Overflow en el Password del Descriptor de Acceso a la Base de Datos. VU#923395 - Módulo PL/SQL de Oracle9i Application Server Apache es Vulnerable a un Buffer Overflow en el Nombre de Directorio Cache. VU#180147 - Módulo PL/SQL de Oracle 9i Database Server Permite la Ejecución de Comandos Remotos sin Autenticación. VU#736923 - Componentes SOAP de Oracle 9iAS SOAP Permiten que Usuarios Anónimos Ejecuten Aplicaciones por Default. VU#712723 - Configuración por Default de Oracle 9iAS Utiliza Passwords Conocidos por Default. VU#611776 - Interface de Administración Web del Gateway PL/SQL de Oracle9i Application Server Utiliza Autenticación Nula por Default. * Acceso No Autorizado a Información Sensitiva Un número de vulnerabilidades revelan información de configuración o exponen datos almacenados en bases de datos fundamentales. También, aplicaciones inseguras podrían permitir a un intruso ejecutar requerimientos SQL. Los programadores de sistemas de Oracle pueden examinar estas vulnerabilidades en las páginas de ejemplo de Oracle para prevenir vulnerabilidades similares en sus propias aplicaciones Oracle. VU#307835 - Procedimientos OWA_UTIL de Oracle9i Application Server Exponen Información Sensitiva. VU#193523 - Oracle 9i Application Server Permite Acceso No Autenticado a Aplicaciones PL/SQL por medio del Descriptor de Acceso a la Base de Datos Alterno. VU#698467 - Configuración por Default de Oracle 9iAS Permite Acceso al Archivo "globals.jsa". VU#476619 - Configuración por Default de Oracle 9iAS Permite que Usuarios Arbitrarios Vean Archivos de Configuración Sensitivos. VU#977251 - Oracle 9iAS XSQL Servlet Ignora Permisos de Archivos Permitiendo a Usuarios Arbitrarios Ver Archivos de Configuración Sensitivos. VU#168795 - Oracle 9iAS Permite a Usuarios Anónimos Remotos Ver por Default Servicios de Apache Sensitivos. VU#278971 - Oracle 9i Application Server No Maneja Adecuadamente Requerimientos de Archivos JSP Inexistentes Revelando la Ruta del Directorio Web. VU#547459 - Oracle 9iAS Crea Archivos Temporales Cuando Procesa Requerimientos que son Leíbles por Cualquier Usuario. * Negación de Servicio En el caso donde el módulo PL/SQL no maneja apropiadamente un requerimiento HTTP, una vulnerabilidad de negación de servicio existe. También, un intento satisfactorio para explotar la vulnerabilidad de buffer overflow podría detener el servicio de Apache. VU#805915 - Módulo PL/SQL de Oracle9i Application Server Apache No Maneja Apropiadamente la Cabecera de Autorización HTTP. SOLUCIONES - ---------- Oracle ha proporcionado parches y soluciones temporales para solucionar la mayoría de estas vulnerabilidades. Se aconseja a los sitios utilizando Oracle Application Server instalar los parches apropiados y hacer los cambios a la configuración recomendados proporcionados por Oracle. Las parches y soluciones temporales para vulnerabilidades específicas pueden ser encontradas de manera individual en las Notas de Vulnerabilidad y en las siguientes alertas de seguridad de Oracle: Alerta de Seguridad de Oracle #29 http://otn.oracle.com/deploy/security/pdf/plsextproc_alert.pdf Alerta de Seguridad de Oracle #28 http://otn.oracle.com/deploy/security/pdf/ias_modplsql_alert.pdf Alerta de Seguridad de Oracle #25 http://otn.oracle.com/deploy/security/pdf/modplsql.pdf Alerta de Seguridad de Oracle #22 http://otn.oracle.com/deploy/security/pdf/ias_soap_alert.pdf Información de Seguridad y Parches para los productos de Oracle esta disponible en los siguientes lugares: Alertas de Seguridad de Oracle http://otn.oracle.com/deploy/security/alerts.htm MetaLink (Registro Requerido) http://metalink.oracle.com/ Los sitios ejecutando Oracle Application Server pueden también consultar el artículo de David Litchfield Hackproofing Oracle Application Server para describir los impactos y varias de estas vulnerabilidades. * Aplicar un Parche Oracle ha liberado parches que solucionan estas vulnerabilidades. Información de los parches puede ser encontrada en la Alerta de Seguridad de Oracle #28 y la Alerta de Seguridad de Oracle #25 y en el sitio web de MetaLink. * Configuración por Default Segura Oracle ha proporcionado documentación para cambiar las configuraciones establecidas por default. Para obtener más detalles consulte la Notas de Vulnerabilidades y las referencias a las Alertas de Seguridad de Oracle. APÉNDICE A.- Información de Distribuidores - ------------------------------------------- El Apéndice A contiene información proporcionada por los distribuidores de este boletín. Cuando los distribuidores reporten nueva información al CERT/UNAM-CERT, se actualizará esta sección. Si un distribuidor en particular no se encuentra listado a continuación, significa que no se han recibido sus comentarios. APÉNDICE B.- Referencias - ------------------------- 1.http://www.kb.cert.org/vuls/id/500203 2.http://www.kb.cert.org/vuls/id/313280 3.http://www.kb.cert.org/vuls/id/750299 4.http://www.kb.cert.org/vuls/id/878603 5.http://www.kb.cert.org/vuls/id/659043 6.http://www.kb.cert.org/vuls/id/923395 7.http://www.kb.cert.org/vuls/id/307835 8.http://www.kb.cert.org/vuls/id/736923 9.http://www.kb.cert.org/vuls/id/611776 10.http://www.kb.cert.org/vuls/id/698467 11.http://www.kb.cert.org/vuls/id/476619 12.http://www.kb.cert.org/vuls/id/712723 13.http://www.kb.cert.org/vuls/id/168795 14.http://www.kb.cert.org/vuls/id/278971 15.http://www.kb.cert.org/vuls/id/180147 16.http://www.kb.cert.org/vuls/id/193523 17.http://www.kb.cert.org/vuls/id/977251 18.http://www.kb.cert.org/vuls/id/805915 19.http://www.kb.cert.org/vuls/id/547459 20.http://www.nextgenss.com/papers/hpoas.pdf 21.http://www.nextgenss.com/advisories/plsql.txt 22.http://www.nextgenss.com/advisories/oraplsextproc.txt 23.http://www.nextgenss.com/advisories/oraplsbos.txt 24.http://www.nextgenss.com/advisories/orajsa.txt 25.http://www.nextgenss.com/advisories/orajsp.txt 26.http://otn.oracle.com/deploy/security/pdf/plsextproc_alert.pdf 27.http://otn.oracle.com/deploy/security/pdf/ias_modplsql_alert.pdf 28.http://otn.oracle.com/deploy/security/pdf/modplsql.pdf 29.http://otn.oracle.com/deploy/security/pdf/ias_soap_alert.pdf INFORMACIÓN - ------------ Éste documento se encuentra disponible en su formato original en la siguiente dirección: http://www.cert.org/advisories/CA-2002-08.html Para mayor información acerca de éste boletín de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : seguridad en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 -----BEGIN PGP SIGNATURE----- Version: 2.6.3i Charset: cp850 iQEVAwUBPJYvanAvLUtwgRsVAQGL5Af+MbCF1btgLcJ0fHtHFIsx1AIKGBfR5Y+A 0Wbk6zbotg1fe0QrA6xW3XzwsLVg9G5xUDVP8LQ/1H1Jul5hcPJf0kr9q9NxEKlo WrDV3fOal9o3Eiz/hc0mpAZVTkYoeepGZhGhchMWkz2jUUSoEhXTPgqQdx0PpmPp uZKDJoiqQ4lcuSWfT3knoWtxPELZVbu7CWGr9Dzyg9HVA3O6VSuTE+Sb+Dfd9vr/ 35E2k0PNrqimjdHhc2cKXHy3pt0eSJ0/vtCH+yfM8dhe4JRcyUenA8hzbiZUmCyI gR/DVxpmqwpguCFJu5aH0/rSlVEKZ7EiTdMouYIrRTbvCPGLUkRypQ== =T+52 -----END PGP SIGNATURE----- _______________________________________________ Ayuda mailing list Ayuda en linux org mx