Guninski en un nuevo aviso alerta de una vulnerabilidad en las
instalaciones por defecto de Oracle 8.1.7 para Windows 2000. A través
del servlet Oracle XSQL y hojas de estilo xml es posible ejecutar java
en el servidor.
Georgi Guninski parece más activo que nunca, es el tercer aviso de
seguridad que publica en pocos días, todos ellos de elevada gravedad.
En esta ocasión el problema afecta a las instalaciones de Oracle 8.1.7
bajo Windows 2000 aunque como indica el propio Guninski es muy posible
que otras versiones y plataformas también se vean afectadas ya que el
servlet problemático está escrito en java.
El servlet XSQL permite especificar una hoja de estilo xslt externa
que puede estar alojado en cualquier sitio. El problema reside en que
es posible ejecutar código java en el servidor web si este se incluye
en el xslt. La ejecución de java en el servidor, puede provocar sin
ninguna duda el compromiso total del servidor.
Oracle permite extensiones a las funciones incluidas en xslt mediante
el uso de xmlns. Mediante el uso de este namespace es posible
instanciar objetos java y ejecutar sus métodos. Guninski proporciona
los archivos xsl y sxlt necesarios para llegar a reproducir el fallo.
Para evitar este problema se recomienda añadir la línea
allow-client-style=»no»
en el elemento document de cada página xsql. En los próximos días
Oracle publicará un parche para remediar el problema.
antonior@hispasec.com
Más información:
Oracle XSQL servlet and xml-stylesheet allow executing java on the web server
http://www.guninski.com/oraxsql.html
