Oracle-Patches mehr als 600 Tage überfällig
Nach über 690 Tagen ohne Patch seitens Oracle veröffentlicht Alexander Kornbrust Advisories über teils schwerwiegende Lücken im Oracle Application Server.
Alexander Kornbrust von Red Database Security veröffentlichte nach über 690 Tagen ohne Reaktion vom Hersteller Oracle Security-Advisories zu Lücken im Application Server. Auch nach mehrmaligen Hinweisen und dem Setzen einer Deadline hat Oracle die Fehler nicht behoben. Nach der Veröffentlichung reagierte Oracle dann doch mit einem Statement. Amerikanische Medien zitieren das Unternehmen, es sei unglücklich über das Publizieren von Lücken, für die es noch keinen Patch gebe, und dass es großen Wert auf die Sicherheit seiner Anwendungen lege. Damit bestätigt der Hersteller zugleich das Vorhandensein der teils schwerwiegenden Fehler.
Kornbrust verteidigt seine Vorgehensweise gegenüber heise Security: "Natürlich bin auch ich normalerweise der Meinung, dass Sicherheitslücken nicht vorab veröffentlicht werden sollten, ohne dem Hersteller eine Chance zu geben, diese Fehler zu korrigieren. In diesem Falle hatte Oracle jedoch die Kleinigkeit von 692 bis 718 Tagen Zeit. Außerdem habe ich Oracle zusätzliche Zeit angeboten. Leider haben Sie meine E-Mail entweder nicht ernst genommen oder diesen Absatz überhaupt nicht gelesen …"
Die Anwendungen Oracle Reports sowie Oracle Forms aus dem Oracle Application Server, die im Fall von Reports zur Auswertung von sensiblen Unternehmensdaten und im Fall von Forms zur Erstellung von Unternehmensanwendungen auf Oracle-Datenbank-Basis dienen, weisen laut Kornbrust schwere Fehler auf, mit denen auf betroffenen Systemen über das Netz Systembefehle ausführbar und Dateien les- und teilweise schreibbar seien.
Unter anderem sei es jedem Anwender möglich, in Oracle Reports so genannte Report Executables von einem beliebigen Verzeichnis aus mit den Benutzer- oder Systemrechten zu starten. Mit einer präparierten Report Executable sei es möglich, beliebige Systembefehle ausführen zu lassen. Dieselbe Vorgehensweise führe bei Oracle Forms in den Form Executables zu demselben Ergebnis. Die dazu nötigen Datei-Uploads sind über das im Application Server integrierte WebDAV, SMB- und ähnliche Shares möglich.
Jede beliebige Datei auf dem Oracle Application Server ließe sich überschreiben, indem dem Parameter desname in Oracle Reports ein spezieller Wert zugewiesen wird. Über den Parameter customize sowie desname, mit einem relativen oder absoluten Dateinamen befüllt, ließen sich Teile der Dateiinhalte in der dadurch erzeugten Fehlermeldung ausgeben. Die Software sei weiterhin für einige Cross-Site-Scripting-Attacken anfällig.
Kornbrust beschreibt in den "Published Advisories" Workarounds, mit denen sich Oracle-Kunden schützen können, bis die Firma offizielle Patches zur Verfügung stellt.
Siehe dazu auch: (dmk)
- Run any OS Command via unauthorized Oracle Forms
- Run any OS Command via unauthorized Oracle Reports
- Overwrite any file via desname in Oracle Reports
- Read parts of any file via desformat in Oracle Reports
- Read parts of any XML-file via customize parameter in Oracle Reports
- Various Cross-Site-Scripting Vulnerabilities in Oracle Reports
