miércoles, 19 de enero de 2005

Múltiples vulnerabilidades en productos de Oracle

Oracle 'sorprendió' hace unos meses con un polémico comunicado en el
que anunciaba que su nueva política de publicación de actualizaciones
sería trimestral. Dejando aparte lo inteligente o conveniente de dicha
política para los administradores de sistemas afectados, ha sido fiel a
dicho anuncio y ha publicado 23 avisos de vulnerabilidades que han
sido detectadas en gran cantidad de productos de su compañía.

Si bien la mayor parte de las vulnerabilidades descubiertas permiten
el acceso a información sensible y la manipulación de datos, otras
permitirían también realizar ataques de inyección PL/SQL, denegación
de servicio o escalada de privilegios.

La compañía aplica el adjetivo potencial a la mayor parte de las
vulnerabilidades y especifica en gran cantidad de ellas requisitos
como permisos de ejecución sobre determinados paquetes, o estar
en una sesión válida.

En resumen, los componentes afectados (que no las vulnerabilidades
individuales) serían los siguientes, con sus vulnerabilidades asociadas:
* Networking (DoS)
* LOB Access (AIS)
* Spatial (AIS, MdI, DoS)
* UTL_FILE (MdI)
* Diagnostic (AIS, MdI, DoS)
* XDB (AIS, MdI)
* Dataguard (AIS, MdI)
* Log Miner (AIS, MdI)
* OLAP (AIS, MdI)
* Data Mining (AIS, MdI)
* Advanced Queuing (AIS, MdI)
* Change Data Capture (AIS, MdI)
* Database Core (AIS, MdI)
* OHS (AIS, MdI)
* Report Server (AIS, MdI)
* Forms (DoS)
* mod_plsql (AIS, MdI)
* Calendar (AIS, MdI, DoS)

Adicionalmente, se han detectado también errores en Oracle E-Business
Suite que podrían ser explotados para acceder a información sensible o
manipularla.

Los acrónimos usados para simplificar la enumeración son los siguientes:
AIS: Acceso a información sensible
MdI: Manipulación de información
DoS: Denegación de servicio

Los productos afectados por estas vulnerabilidades serían los siguientes:
* Oracle8 Database Release 8.0.6 (versión 8.0.6.3)
* Oracle8i Database Server Release 3 (versión 8.1.7.4)
* Oracle9i Database Server Release 1 (versiones 9.0.1.4, 9.0.1.5 y 9.0.4)
* Oracle9i Database Server Release 2 (versiones 9.2.0.4, 9.2.0.5 y 9.2.0.6)
* Oracle9i Application Server Release 1 (versión 1.0.2.2)
* Oracle9i Application Server Release 2 (versiones 9.0.2.3 y 9.0.3.1)
* Oracle Database 10g Release 1 (versiones 10.1.0.2, 10.1.0.3 y 10.1.0.3.1)
* Oracle Application Server 10g (9.0.4, versiones 9.0.4.0 y 9.0.4.1)
* Oracle Application Server 10g Release 2 (10.1.2)
* Oracle Collaboration Suite Release 2 (version 9.0.4.2)
* Oracle E-Business Suite and Applications Release 11i (11.5)
* Oracle E-Business Suite and Applications Release 11.0

El enlace para acceder a las actualizaciones pertinentes según
plataforma es el siguiente:
http://metalink.oracle.com/metalink/plsql/showdoc?db=NOT&id=293953.1

Tras esto, sólo recordar que las fechas programadas para repetir este
tipo de publicación son 12 de abril, 12 de julio y 18 de octubre.


Julio Canto
jcanto@hispasec.com


Más información:

Oracle:
http://otn.oracle.com/deploy/security/pdf/cpu-jan-2005_advisory.pdf

NGS Software:
http://www.nextgenss.com/advisories/oracle-02.txt

Pete Finnigan:
http://www.petefinnigan.com/directory_traversal.pdf

Red Database Security:
http://www.red-database-security.com/content6.html

Oracle publicará sus parches de forma trimestral
http://www.hispasec.com/unaaldia/2217