Обзор уязвимостей [Oracle]

Офф.сайт www.oracle.com

Список стандартных SID опубликован в открытом доступе:

www.red-database-security.com/scripts/sid.txt

Подбор SID:

www.red-database-security.com/software/sidguess.zip

Список паролей по умолчанию:

www.petefinnigan.com/default/default_password_list.htm

INFO

По умолчанию СУБД Oracle в Windows запускается с правами администратора.

Защита:

1. Установи пароль на доступ к сервису TNS Listener.
2. Включи протоколирование подключения к Листенеру для обнаружения попыток перебора паролей.
3. Не используй словарные, легко угадываемые SID-имена.
4. Ограничь доступ к системам, через которые можно узнать SID.
5. Проведи аудит используемых учетных записей: удали или отключи неиспользуемые и смени стандартные пароли системных учетных записей.
6. Внедри корпоративную парольную политику в СУБД.
7. Установи последние критические обновления или хотя бы ограничь доступ пользователям на запуск потенциально опасных процедур.
8. Проанализируй привилегии и роли пользователей, руководствуясь принципом наименьших привилегий.
9. Если возможно, отключи возможности доступа пользователей Oracle к файловой системе.

Эти действия помогут наиболее полно защитить СУБД без использования дополнительных программно-аппаратных средств, позволяющих избежать неожиданных хакерских нападений.

Отправка произвольных сообщений и раскрытие информации в Oracle 9i

Уязвимость защиты обнаружена в нескольких типовых сценариях, поставляемых с Oracle 9i Application Server. Сценарии позволяют атакующему посылать произвольные электронные сообщения от Oracle сервера или раскрывать переменные среды и другие данные.

Информация, полученная этим способом, может использоваться для организации потенциально разрушительных нападений против уязвимого сервера.

Уязвимые сценарии:

Уязвимость обнаружена в:

Обход ограничений безопасности в продуктах Oracle

Программа:
Oracle9i Database Standard Edition
Oracle9i Database Enterprise Edition
Oracle9i Application Server
Oracle Application Server 10g
Oracle Database 8.x
Oracle HTTP Server 8.x
Oracle HTTP Server 9.x

Уязвимость существует из-за ошибки в компоненте Gateway в Oracle PL/SQL при проверке подлинности определенных HTTP запросов. Удаленный пользователь может обойти ограничения списка PLSQLExclusion и получить доступ к запрещенным пакетам и процедурам с помощью специально сформированного HTTP запроса. Удачная эксплуатация уязвимости позволит злоумышленнику получить доступ с привилегиями DBA к базе данных посредством Web сервера.

Раскрытие Guest пароля, секретного ключа сервера и другой чувствительной информации в Oracle E-Business Suite

Уязвимость раскрытия информации обнаружена в Oracle E-Business Suite. Удаленный пользователь может получить информацию о конфигурации системы и другую диагностическую информацию. Oracle Applications Self-Service Framework (OA Framework) - основа для HRMS, iProcurement, iExpenses и других web приложений. OA Framework включает набор тестов (AOL/J Setup Test Suite), которые используются для проверки инсталляции и конфигурации. Этот набор тестов прописан в JSP странице aoljtest.jsp. AOL/J Setup Test Suite устанавливается в $COMMON_TOP/html/jsp/fnd каталоге. Несколько уязвимостей в AOL/J Setup Test Suite позволяют удаленному атакующему получить чувствительную информацию о конфигурации Oracle, без какой либо авторизации. Раскрываемая информация включает пароль GUEST пользователя и секретный ключ сервера.

Уязвимость обнаружена в Oracle E-Business Suite 11i, All Releases; Oracle Applications, All Releases.

Oracle 10g R1 xdb.xdb_pitrig_pkg PLSQL Injection (change sys password)
Oracle 10g R1 pitrig_truncate PLSQL Injection (get users hash)
Oracle 10g R1 pitrig_drop PLSQL Injection (get users hash)
Oracle 10g LT.FINDRICSET Local SQL Injection Exploit (IDS evasion)
Oracle 10g/11g SYS.LT.FINDRICSET Local SQL Injection Exploit (2)
Oracle 10g/11g SYS.LT.FINDRICSET Local SQL Injection Exploit
Oracle 10g CTX_DOC.MARKUP SQL Injection Exploit
Oracle 9i/10g evil views Change Passwords Exploit (CVE-2007-3855)
phpOracleView (include_all.inc.php page_dir) RFI Vulnerability
Oracle 10g KUPM$MCP.MAIN SQL Injection Exploit
Oracle 10g KUPM$MCP.MAIN SQL Injection Exploit v2
Oracle 10g (PROCESS_DUP_HANDLE) Local Privilege Elevation (win32)
Oracle 9i/10g DBMS_METADATA.GET_DDL SQL Injection Exploit v2
Oracle 9i/10g ACTIVATE_SUBSCRIPTION SQL Injection Exploit v2
Oracle 10g KUPV$FT.ATTACH_JOB SQL Injection Exploit v2
Oracle 10g KUPW$WORKER.MAIN SQL Injection Exploit v2
Oracle 9i/10g ACTIVATE_SUBSCRIPTION SQL Injection Exploit
Oracle 9i/10g DBMS_METADATA.GET_DDL SQL Injection Exploit
Oracle 10g KUPV$FT.ATTACH_JOB Grant/Revoke dba Permission Exploit
Oracle 10g KUPW$WORKER.MAIN Grant/Revoke dba Permission Exploit
Oracle 9i/10g DBMS_EXPORT_EXTENSION SQL Injection Exploit
Oracle 10g SYS.KUPV$FT.ATTACH_JOB PL/SQL Injection Exploit
Oracle 10g SYS.KUPW$WORKER.MAIN PL/SQL Injection Exploit
Oracle 10g SYS.DBMS_CDC_IMPDP.BUMP_SEQUENCE PL/SQL Injection
Oracle <= 9i / 10g File System Access via utl_file Exploit
Oracle <= 9i / 10g (extproc) Local/Remote Command Execution Exploit
Oracle <= 10g Release 2 (DBMS_EXPORT_EXTENSION) Local SQL Exploit
Oracle 9.2.0.1 Universal XDB HTTP Pass Overflow Exploit
Oracle Database PL/SQL Statement Multiple SQL Injection Exploits

Документация:

Oracle Database Security
Защита данных в СУБД Oracle
Как организовать двойную парольную защиту данных в Oracle
Ищем и прячем баги в Oracle
Грубые опыты над Oracle

Papers:

Lateral SQL Injection: A New Class of Vulnerability in Oracle
Oracle Forensics Part 5: Finding Evidence of Data Theft in the Absence
Oracle Forensics Part 1: Dissecting the Redo Logs
Oracle Forensics Part 2: Locating Dropped Objects
Oracle Forensics Part 3: Isolating Evidence of Attacks
Oracle Forensics Part 4: Live Response
Dangling Cursor Snarfing: A New Class of Attack in Oracle
Bypassing Oracle dbms_assert