En los últimos meses se han descubierto un gran número de
vulnerabilidades que afectan a servidores de bases de datos Oracle 8i,
Oracle 9i y al servidor de aplicaciones Oracle 9i.
El número de problemas que afectan a los diversos sistemas Oracle y sus
gravedad ha repercutido en que el CERT/CC (Comupter Emergency Response
Team Coordination Center) ha publicado un completo documento en el que
alerta a todos los usuarios y administradores de estos sistemas sobre
todas estas incidencias.
Hay que aclarar que no se trata de nuevos problemas, ya que todos estos
ya fueron registrados por el servicio de información SANA, algunos
incluso desde hace más de tres meses. Sin embargo, la gran cantidad
de problemas y la diversidad de sus efectos ha provocado la publicación
de dicha información por dicho organismo.
Las vulnerabilidades incluyen desbordamientos de búfer, configuraciones
por defecto inseguras, problemas en la implementación de controles de
acceso así como en la validación de datos. Por su parte el impacto de
estos problemas incluyen desde la ejecución de código y comandos
arbitrarios por parte del atacante, la denegación de servicios o el
acceso no autorizado a información sensible.
Las vulnerabilidades descubiertas son debidas principalmente a modulos y
componentes empleados en Oracle Application Server y Oracle Database,
como el módulo de lenguaje PL/SQL, Java Server Pages, servlets XSQL y
aplicaciones Simple Object Access Protocol (SOAP).
En total el documento publicado por el CERT/CC hace referencia a seis
diferentes vulnerabilidades de desbordamiento de búfer en el módulo
PL/SQL de Oracle9i Application Server, ocho vulnerabilidades de
configuraciones por defecto inseguras en Oracle 9iAS, cuatro
vulnerabilidades en el control de acceso en Oracle 9i Database Server y
Oracle 9iAS y una vulnerabilidad en Oracle 9iAS en la validación de
datos de entrada. Alguna de estas vulnerabilidades también afectan a
Oracle 8i al emplear los mismos módulos que Oracle 9i.
Se recomienda la lectura del boletín publicado por el CERT/CC y
actualizar los sistemas afectados con los parches proporcionados por
Oracle.
A pesar de todos estos problemas y avisos de seguridad, resulta curioso
ver como Oracle sigue anunciando su producto Oracle 9i como
«Unbreakable» (irrompible) y de total seguridad.
antonior@hispasec.com
Más información:
Aviso del CERT/CC. Multiple vulnerabilities in Oracle Servers
http://www.cert.org/advisories/CA-2002-08.html
Oracle:
http://www.oracle.com
SANA
http://www.hispasec.com/sana/
