Archive for the ‘CPUOct2007’ Category

Inguma – Freies Oracle Penetration Toolkit von Joxean Koret

Samstag, Oktober 20th, 2007

Ich bin gerade zurück von der kleinen, aber feinen Security Konferenz 0sec in Bern, auf der ich zu dem Thema „Latest Trends in Oracle Security“ gesprochen habe.

Joxean Koret hat die Version 0.05 seines freien Penetration Toolkit  „Inguma“ veröffentlicht. Der Name Inguma kommt von dem baskischen Gott der Träume. Wer da wohl schon träumen soll… DBA’s sicherlich nicht…

Inguma, geschrieben in Phython, unterstützt verschiedene Systeme (z.B.. Oracle, SQL Server, SSH, Firewalls, …). Die folgenden Features von Inguma sind Oracle spezifisch:

* Exploit für die Lücke in SYS.LT.FINDRICSET (Oracle CPU Okt. 2007).
* Modul „bruteora“ hinzugefügt, um Oracle Server zu bruteforcen.
* Tool, um MD5 Hashes via Rainbow-Tables zu knacken.
* Modul „sidguess“, um die SID einer Oracle Datenbank zu erraten.
* Password Cracker für Oracle11g.
* Erweiterung des bisherigen Oracle PL/SQL Fuzzer.

Hier ist ein Screenshot von Inguma unter Backtrack 2.

Inguma Screenshot 1

Gut gemacht Joxean.

Posted in CPUOct2007, Exploit, Inguma | No Comments »

Oracle CPU Oktober 2007 – 14 Fehler von Red-Database-Security gefixt (updated)

Dienstag, Oktober 16th, 2007

Oracle hat gerade den Critical Patch Update für Oktober veröffentlicht. Es wurden insgesamt 51 Fehler in verschiedenen Produkten korrigiert. In der Datenbank werden insgesamt 27 Lücken beseitigt.

14 der Fehler wurden von Red-Database-Security gemeldet. Wie üblich sind die Fehler von den üblichen Verdächtigungen (David, Esteban, Joxean und mir). Aus Österreich hat Johannes Greil Fehler gemeldet. Johannes hatte schon 2005 Fehler in Oracle Portal gemeldet.

Oracle korrigiert insgesamt 11 Fehler im Workspace Manager, 3 in Oracle Text und 3 in Oracle Spatial. Weiterhin werden Fehler in Advanced Queueing, XMLDB, OID und ASO) korrigiert. Auch gibt es 2 Fehler in Import/Export. Der Import Fehler (von mir letztes Jahr gemeldet) ist der kritischste Fehler mit einen Rating von 6.5 (CVSS 2.0 rating) und betrifft alle Versionen von Oracle. Einige von unseren Fehler (Database Vault (DB21) und Enterprise Manager (EM01)) sind remote ohne Benutzerkennung ausnutzbar.

Die Fehler in der Datenbank (AFAIK) sind SQL Injection (Workspace Manager, Spatial), Buffer Overflows, Privilegien Eskalation.

Interessant ist auch, dass Joxean Koret zumindestens einen seiner Fehler an Tipping Point verkauft hat („Joxean Koret working with Tipping Point’s Zero Day Initiative“). Für diejenigen, die Tipping Point nicht kennen:

Tipping Point ist ein Hersteller von IDS/IPS Systemen, die Sicherheitslücken in bekannteren Produkten (Oracle, MS, SAP, …) aufkaufen und diese dann, bevor die Patches erhältlich sind, in ihr IDS/IPS integrieren. Ein großer Schutz ist jedoch nicht zu erwarten, wenn 95% der Fehler nicht entdeckt werden….

Mehr Details bald.

Posted in CPUOct2007, Oracle Security | No Comments »

Oracle CPU Oktober 2007 – Vorankündigung

Sonntag, Oktober 14th, 2007

Nächste Woche Dienstag ist es wieder so weit. Oracle veröffentlicht den letzten Oracle CPU Oktober 2007 in diesem Jahr. Diesmal werden insgesamt 51 Sicherheitsfehler in den verschiedenen Oracle Produkten korrigiert. Davon betreffen 27 der 51 Fehler die Oracle Datenbank. 5 davon sind remote ausnutzbar, aber zumindestens unsere Findings nicht besonders kritisch.

Am Freitag hat Oracle uns bereits mitgeteilt, dass diesmal (wahrscheinlich) 14 unserer Fehler in der Datenbank korrigiert werden, darunter auch einige die Remote ausnutzbar sind. Damit sind mehr als 50% aller gemeldeten Fehler in der DB von Red-Database-Security gefunden worden. Auch einer der Fehler von uns in Database Vault wird korrigiert.

Mehr Informationen gibt es nach der Analyse bzw. auf den beiden Seminaren der Oracle University : „Hacking für Oracle DBA’s

Posted in Allgemein, CPUOct2007, Database Vault | No Comments »