[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Boletin de Seguridad UNAM-CERT 2002-008
Multiples Vulnerabilidades en los Servidores Oracle
------------------------------------------------------------------
El CERT/UNAM-CERT, a través de sus equipos de respuesta a incidentes de
Seguridad en Cómputo, han emitido éste boletín en el cual informan de la
existencia de múltiples vulnerabilidades en Oracle Application Server que
han sido descubiertas recientemente.
El CERT/UNAM-CERT señala que estas vulnerabilidades incluyen buffers
overflow, configuraciones por default inseguras, fallas para reforzar
controles de acceso, y fallas de validación de entrada. Los impactos de
estas vulnerabilidades incluyen la ejecución de comandos y código,
negación de servicio, y acceso no autorizado a información sensitiva.
Fecha de Liberación: 14 de Marzo de 2002
Ultima Revisión: 18 de Marzo de 2002
Fuente:
CERT/CC y diversos reportes de
Equipos de Respuesta a Incidentes.
SISTEMAS AFECTADOS
- ------------------
Sistemas ejecutando Oracle8i Database
Sistemas ejecutando Oracle9i Database
Sistemas ejecutando Oracle9i Application Server
DESCRIPCIÓN
- -----------
Oracle Application Server incluye un servidor web basado en el Apache
HTTP Server. Oracle amplía los componentes del servidor web con un número
de diferentes componentes que pueden ser utilizados para proporcionar
interfaces a las aplicaciones de bases de datos. Estos componentes
incluyen, pero no son limitados a, un módulo PS/SQL (Procedural
Language/Structured Query Language), Java Server Pages, XSQL Servlets, y
aplicaciones SOAP (Simple Object Acces Protocol).
Las vulnerabilidades referenciadas en éste boletín fueron reportadas por
David Litchfield de NGSSoftware:
Hackproofing Oracle Application Server
http://www.nextgenss.com/papers/hpoas.pdf
NGSSoftware Insight Security Research Advisory #NISR20122001
http://www.nextgenss.com/advisories/plsql.txt
NGSSoftware Insight Security Research Advisory #NISR06022002A
http://www.nextgenss.com/advisories/oraplsextproc.txt
NGSSOftware Insight Security Research Advisory #NISR06022002B
http://www.nextgenss.com/advisories/oraplsbos.txt
NGSSoftware Insight Security Research Advisory #NISR06022002C
http://www.nextgenss.com/advisories/orajsa.txt
http://www.nextgenss.com/advisories/orajsp.txt
Para obtener una lista completa de las vulnerabilidad relacionadas con
Oracle publicadas por el CERT, consulte la Base de Datos de Vulnerabilidades.
Buffer Overflows
- ---------------
Varias vulnerabilidades de buffer overflow existen en la manera en como
el módulo PL/SQL maneja los requerimientos y parámetros de configuración.
Las configuraciones establecidas por default en un rango de componentes
son inseguras, y diferentes componentes fallan al aplicar uniformemente
las restricciones de acceso. Estas vulnerabilidades ponen en riesgo al
sistema ejecutando el Oracle Application Server y la información
almacenada en las bases de datos fundamentales.
Dos o más vulnerabilidades de buffer overflow existen en el código que
procesa los parámetros de configuración. Estos parámetros procesan
parámetros de configuración que pueden ser especificados por medio de la
interface de administración de web del gateway PL/SQL. Por default, el
acceso a la interface de administración de web del gateway PL/SQL no está
restringida [ VU#611776].
VU#500203 - Módulo PL/SQL de Oracle9i Application Server Apache es
Vulnerable a un Buffer Overflow en los Requerimientos de Páginas de Ayuda.
VU#313280 - Módulo PL/SQL de Oracle9i Application Server Apache es
Vulnerable a un Buffer Overflow en la Cabecera de Localización HTTP.
VU#750299 - Módulo PL/SQL de Oracle9i Application Server Apache es
Vulnerable a un Buffer Overflow en los Requerimientos HTTP.
VU#878603 - Módulo PL/SQL de Oracle9i Application Server Apache es
Vulnerable a un Buffer Overflow en la Cabecera de Autorización HTTP.
VU#659043 - Módulo PL/SQL de Oracle9i Application Server Apache es
Vulnerable a un Buffer Overflow en el Password del Descriptor de Acceso a
la Base de Datos.
VU#923395 - Módulo PL/SQL de Oracle9i Application Server Apache es
Vulnerable a un Buffer Overflow en el Nombre de Directorio Cache.
* Configuraciones por Default Inseguras
La instalación por default de Oracle Application Server incluye un número
de configuraciones inseguras, como por ejemplo passwords conocidos por
default y acceso no restringido a aplicaciones e información sensitiva.
VU#307835 - Procedimientos OWA_UTIL de Oracle9i Application Server
Exponen Información Sensitiva.
VU#736923 - Componentes SOAP de Oracle 9iAS SOAP Permiten que Usuarios
Anónimos Ejecuten Aplicaciones por Default.
VU#611776 - Interface de Administración Web del Gateway PL/SQL de
Oracle9i Application Server Utiliza Autenticación Nula por Default.
VU#698467 - Configuración por Default de Oracle 9iAS Permite Acceso al
Archivo "globals.jsa".
VU#476619 - Configuración por Default de Oracle 9iAS Permite que Usuarios
Arbitrarios Vean Archivos de Configuración Sensitivos.
VU#712723 - Configuración por Default de Oracle 9iAS Utiliza Passwords
Conocidos por Default.
VU#168795 - Oracle 9iAS Permite a Usuarios Anónimos Remotos Ver por
Default Servicios de Apache Sensitivos.
VU#278971 - Oracle 9i Application Server No Maneja Adecuadamente
Requerimientos de Archivos JSP Inexistentes Revelando la Ruta del
Directorio Web.
* Fallas para Reforzar el Control de Acceso
Oracle Application Server no refuerza uniformemente restricciones de
acceso. Diferentes componentes no verifican adecuadamente la autorización
antes de otorgar el acceso a recursos protegidos.
VU#180147 - Módulo PL/SQL de Oracle 9i Database Server Permite la
Ejecución de Comandos Remotos sin Autenticación.
VU#193523 - Oracle 9i Application Server Permite Acceso No Autenticado a
Aplicaciones PL/SQL por medio del Descriptor de Acceso a la Base de Datos
Alterno.
VU#977251 - Oracle 9iAS XSQL Servlet Ignora Permisos de Archivos
Permitiendo a Usuarios Arbitrarios Ver Archivos de Configuración Sensitivos.
VU#547459 - Oracle 9iAS Crea Archivos Temporales Cuando Procesa
Requerimientos que son Leíbles por Cualquier Usuario.
* Falla de Validación de Entrada
En un caso, el módulo PL/SQL no maneja apropiadamente un requerimiento
HTTP mal formado.
VU#805915 - Módulo PL/SQL de Oracle9i Application Server Apache No Maneja
Apropiadamente la Cabecera de Autorización HTTP.
IMPACTO
- -------
El impacto de estas vulnerabilidades incluye la ejecución de código,
ejecución remota de comandos y requerimientos SQL, revelación de
información sensitiva, y negación de servicio.
* Ejecución Remota de Comandos y Código
Esta sección contiene vulnerabilidades que permiten a un intruso remoto
causar una negación de servicio o ejecutar código, comandos o solicitudes
en el sistema.
Algunas de estas vulnerabilidades permiten la ejecución con los
privilegios del proceso de Apache. En los sistemas UNIX, el proceso de
Apache típicamente se ejecuta como el usuario "oracle". En los sistemas
Windows, el servicio de Apaches se ejecuta típicamente como usuario
SYSTEM; de esta manera, un intruso podría obtener el control total del
sistema explotando estas vulnerabilidades.
VU#500203 - Módulo PL/SQL de Oracle9i Application Server Apache es
Vulnerable a un Buffer Overflow en los Requerimientos de Páginas de Ayuda.
VU#313280 - Módulo PL/SQL de Oracle9i Application Server Apache es
Vulnerable a un Buffer Overflow en la Cabecera de Localización HTTP.
VU#750299 - Módulo PL/SQL de Oracle9i Application Server Apache es
Vulnerable a un Buffer Overflow en los Requerimientos HTTP.
VU#878603 - Módulo PL/SQL de Oracle9i Application Server Apache es
Vulnerable a un Buffer Overflow en la Cabecera de Autorización HTTP.
VU#659043 - Módulo PL/SQL de Oracle9i Application Server Apache es
Vulnerable a un Buffer Overflow en el Password del Descriptor de Acceso a
la Base de Datos.
VU#923395 - Módulo PL/SQL de Oracle9i Application Server Apache es
Vulnerable a un Buffer Overflow en el Nombre de Directorio Cache.
VU#180147 - Módulo PL/SQL de Oracle 9i Database Server Permite la
Ejecución de Comandos Remotos sin Autenticación.
VU#736923 - Componentes SOAP de Oracle 9iAS SOAP Permiten que Usuarios
Anónimos Ejecuten Aplicaciones por Default.
VU#712723 - Configuración por Default de Oracle 9iAS Utiliza Passwords
Conocidos por Default.
VU#611776 - Interface de Administración Web del Gateway PL/SQL de
Oracle9i Application Server Utiliza Autenticación Nula por Default.
* Acceso No Autorizado a Información Sensitiva
Un número de vulnerabilidades revelan información de configuración o
exponen datos almacenados en bases de datos fundamentales. También,
aplicaciones inseguras podrían permitir a un intruso ejecutar
requerimientos SQL. Los programadores de sistemas de Oracle pueden
examinar estas vulnerabilidades en las páginas de ejemplo de Oracle para
prevenir vulnerabilidades similares en sus propias aplicaciones Oracle.
VU#307835 - Procedimientos OWA_UTIL de Oracle9i Application Server
Exponen Información Sensitiva.
VU#193523 - Oracle 9i Application Server Permite Acceso No Autenticado a
Aplicaciones PL/SQL por medio del Descriptor de Acceso a la Base de Datos Alterno.
VU#698467 - Configuración por Default de Oracle 9iAS Permite Acceso al
Archivo "globals.jsa".
VU#476619 - Configuración por Default de Oracle 9iAS Permite que Usuarios
Arbitrarios Vean Archivos de Configuración Sensitivos.
VU#977251 - Oracle 9iAS XSQL Servlet Ignora Permisos de Archivos
Permitiendo a Usuarios Arbitrarios Ver Archivos de Configuración Sensitivos.
VU#168795 - Oracle 9iAS Permite a Usuarios Anónimos Remotos Ver por
Default Servicios de Apache Sensitivos.
VU#278971 - Oracle 9i Application Server No Maneja Adecuadamente
Requerimientos de Archivos JSP Inexistentes Revelando la Ruta del Directorio Web.
VU#547459 - Oracle 9iAS Crea Archivos Temporales Cuando Procesa
Requerimientos que son Leíbles por Cualquier Usuario.
* Negación de Servicio
En el caso donde el módulo PL/SQL no maneja apropiadamente un
requerimiento HTTP, una vulnerabilidad de negación de servicio existe.
También, un intento satisfactorio para explotar la vulnerabilidad de
buffer overflow podría detener el servicio de Apache.
VU#805915 - Módulo PL/SQL de Oracle9i Application Server Apache No Maneja
Apropiadamente la Cabecera de Autorización HTTP.
SOLUCIONES
- ----------
Oracle ha proporcionado parches y soluciones temporales para solucionar
la mayoría de estas vulnerabilidades. Se aconseja a los sitios utilizando
Oracle Application Server instalar los parches apropiados y hacer los
cambios a la configuración recomendados proporcionados por Oracle.
Las parches y soluciones temporales para vulnerabilidades específicas
pueden ser encontradas de manera individual en las Notas de
Vulnerabilidad y en las siguientes alertas de seguridad de Oracle:
Alerta de Seguridad de Oracle #29
http://otn.oracle.com/deploy/security/pdf/plsextproc_alert.pdf
Alerta de Seguridad de Oracle #28
http://otn.oracle.com/deploy/security/pdf/ias_modplsql_alert.pdf
Alerta de Seguridad de Oracle #25
http://otn.oracle.com/deploy/security/pdf/modplsql.pdf
Alerta de Seguridad de Oracle #22
http://otn.oracle.com/deploy/security/pdf/ias_soap_alert.pdf
Información de Seguridad y Parches para los productos de Oracle esta
disponible en los siguientes lugares:
Alertas de Seguridad de Oracle
http://otn.oracle.com/deploy/security/alerts.htm
MetaLink (Registro Requerido)
http://metalink.oracle.com/
Los sitios ejecutando Oracle Application Server pueden también consultar
el artículo de David Litchfield Hackproofing Oracle Application Server
para describir los impactos y varias de estas vulnerabilidades.
* Aplicar un Parche
Oracle ha liberado parches que solucionan estas vulnerabilidades.
Información de los parches puede ser encontrada en la Alerta de Seguridad
de Oracle #28 y la Alerta de Seguridad de Oracle #25 y en el sitio web de
MetaLink.
* Configuración por Default Segura
Oracle ha proporcionado documentación para cambiar las configuraciones
establecidas por default. Para obtener más detalles consulte la Notas de
Vulnerabilidades y las referencias a las Alertas de Seguridad de Oracle.
APÉNDICE A.- Información de Distribuidores
- -------------------------------------------
El Apéndice A contiene información proporcionada por los distribuidores
de este boletín. Cuando los distribuidores reporten nueva información al
CERT/UNAM-CERT, se actualizará esta sección. Si un distribuidor en
particular no se encuentra listado a continuación, significa que no se
han recibido sus comentarios.
APÉNDICE B.- Referencias
- -------------------------
1.http://www.kb.cert.org/vuls/id/500203
2.http://www.kb.cert.org/vuls/id/313280
3.http://www.kb.cert.org/vuls/id/750299
4.http://www.kb.cert.org/vuls/id/878603
5.http://www.kb.cert.org/vuls/id/659043
6.http://www.kb.cert.org/vuls/id/923395
7.http://www.kb.cert.org/vuls/id/307835
8.http://www.kb.cert.org/vuls/id/736923
9.http://www.kb.cert.org/vuls/id/611776
10.http://www.kb.cert.org/vuls/id/698467
11.http://www.kb.cert.org/vuls/id/476619
12.http://www.kb.cert.org/vuls/id/712723
13.http://www.kb.cert.org/vuls/id/168795
14.http://www.kb.cert.org/vuls/id/278971
15.http://www.kb.cert.org/vuls/id/180147
16.http://www.kb.cert.org/vuls/id/193523
17.http://www.kb.cert.org/vuls/id/977251
18.http://www.kb.cert.org/vuls/id/805915
19.http://www.kb.cert.org/vuls/id/547459
20.http://www.nextgenss.com/papers/hpoas.pdf
21.http://www.nextgenss.com/advisories/plsql.txt
22.http://www.nextgenss.com/advisories/oraplsextproc.txt
23.http://www.nextgenss.com/advisories/oraplsbos.txt
24.http://www.nextgenss.com/advisories/orajsa.txt
25.http://www.nextgenss.com/advisories/orajsp.txt
26.http://otn.oracle.com/deploy/security/pdf/plsextproc_alert.pdf
27.http://otn.oracle.com/deploy/security/pdf/ias_modplsql_alert.pdf
28.http://otn.oracle.com/deploy/security/pdf/modplsql.pdf
29.http://otn.oracle.com/deploy/security/pdf/ias_soap_alert.pdf
INFORMACIÓN
- ------------
Éste documento se encuentra disponible en su formato original en la
siguiente dirección:
http://www.cert.org/advisories/CA-2002-08.html
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : seguridad en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850
iQEVAwUBPJYvanAvLUtwgRsVAQGL5Af+MbCF1btgLcJ0fHtHFIsx1AIKGBfR5Y+A
0Wbk6zbotg1fe0QrA6xW3XzwsLVg9G5xUDVP8LQ/1H1Jul5hcPJf0kr9q9NxEKlo
WrDV3fOal9o3Eiz/hc0mpAZVTkYoeepGZhGhchMWkz2jUUSoEhXTPgqQdx0PpmPp
uZKDJoiqQ4lcuSWfT3knoWtxPELZVbu7CWGr9Dzyg9HVA3O6VSuTE+Sb+Dfd9vr/
35E2k0PNrqimjdHhc2cKXHy3pt0eSJ0/vtCH+yfM8dhe4JRcyUenA8hzbiZUmCyI
gR/DVxpmqwpguCFJu5aH0/rSlVEKZ7EiTdMouYIrRTbvCPGLUkRypQ==
=T+52
-----END PGP SIGNATURE-----
_______________________________________________
Ayuda mailing list
Ayuda en linux org mx