Oracle schließt kritische Lücke außer der Reihe
Eine kürzlich auf der Blackhat-Konferenz veröffentlichte Sicherheitslücke in Oracles Datenbankservern hat die Firma mit einem Patch außerhalb des üblichen Dreimonatszyklus geschlossen.
- Christian Kirsch
Auf der jüngsten Blackhat-Konferenz in Las Vegas hatte der Sicherheitsexperte David Litchfield einen Zero-Day-Exploit in Oracles Datenbankserver vorgestellt. Oracle schloss diese Lücke nun mit einem Patch außer der Reihe. Betroffen sind die Server-Versionen 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.2 und 11.2.0.3. Für die beiden letztgenannten enthielt bereits das Patch-Update von Juli 2012 eine Korrektur.
Der Fehler erlaubt es, Angreifern die Privilegien des SYSDBA-Benutzers zu erlangen. Sie benötigen dafür sowohl Benutzernamen und Passwort als auch die Privilegien CREATE TABLE, CREATE PROCEDURE und EXECUTE für das Paket DBMS_STATS. Außerdem muss das Paket Oracle Text installiert sein, was in der Regel der Fall ist.
Oracle empfiehlt, den bereitgestellten Patch so schnell wie möglich einzuspielen, da bereits Exploits für die Lücke öffentlich verfügbar seien. Der Bug könne zwar auch in älteren, nicht mehr unterstützten Versionen existieren, für diese werde es jedoch keinen Fix geben.
Oracle beschreibt den als CVE-2012-3132 katalogisierten Fehler nur sehr allgemein. Etwas mehr Details finden sich in einem Blog-Eintrag von Alex Rothacker von Team Shatter. Er weist zunächst darauf hin, dass normale Datenbanknutzer die erwähnten Privilegien nicht haben sollten, Entwickler sie jedoch in der Regel besitzen.
Rothacker empfiehlt, die Privilegien CREATE TABLE und CREATE PROCEDURE sowie EXECUTE für DBMS_STATS und CTXSYS.CTX_DDL nur denjenigen Anwendern zu geben, die sie wirklich benötigen. Außerdem sollten alle Aufrufe von CREATE INDEX mit dem INDEXTYPE CTXSYS.CONTEXT und Aufrufen von DBMS_STATS.GATHER_TABLE_STATS überwacht werden. Indizes für eine Spalte, deren Name '|| OR ||' enthält, wiesen auf auf einen möglichen Angriff hin.
Dieser Indextyp dient in Oracles Text-Paket seit Version 9i zum Indizieren großer Dokumente, die auch in Binärformaten wie PDF und DOC vorliegen können. Die Routine GATHER_TABLE_STATS im Paket DBMS_STATS liefert Informationen über eine Tabelle und ihre Indizes.
(ck)
