Oracle: Volle Kontrolle durch Webserver
Die PL/SQL-Gateway-Komponente in Oracles Application- und HTTP-Server enthält eine Schwachstelle, durch die Angreifer aus dem Netz die Sicherungsmaßnahmen umgehen und vollen Zugriff auf den Backend-Datenbankserver erhalten können.
Die PL/SQL-Gateway-Komponente in Oracles Application- und HTTP-Server enthält eine Schwachstelle, durch die Angreifer aus dem Netz die Sicherungsmaßnahmen umgehen und vollen Zugriff auf den Backend-Datenbankserver erhalten können. David Litchfield stellt in seinem Advisory einen trivialen Workaround vor, der das Leck provisorisch abdichtet.
Der Webserver auf den Oracle-Servern kann durch eine fehlerhafte Eingabeprüfung präparierter HTTP-Anfragen aus dem Tritt gebracht werden, sodass Angreifer sich um die PLSQLExclusion-Liste herummogeln können; der Zugriff auf eigentlich ausgeschlossene Pakete und Prozeduren gelingt.
Da es sich bei dem Oracle-Webserver um einen Apache handelt, hilft das Hinzufügen einer mod_rewrite-Regel in die Apache-Konfigurationsdatei sowie das darauffolgende Neustarten des Apache. Die Filterregeln für die http.conf sind in der Sicherheitsmeldung von Litchfield zu finden.
Oracle wurde von NGSSoftware schon Ende Oktober vergangenen Jahres über den Fehler informiert – obwohl er kritisch ist, wurde er jedoch am Januar-Patchday vom Hersteller nicht behoben. NGSSoftware ist ein Verfechter des Responsible Disclosure, bei dem den Herstellern nach der Entdeckung der Lücke einige Zeit bis zur Veröffentlichung von Details eingeräumt wird, um die Schwachstelle abzudichten. Vor diesem Hintergrund ist Litchfields Vorpreschen ein weiteres Indiz für das Schadpotenzial des Sicherheitslecks.
Siehe dazu auch: (dmk)
- Workaround for unpatched Oracle PLSQL Gateway flaw von David Litchfield auf Full Disclosure
