Phân tích lỗi bảo mật từ bản vá Oracle-CPU012009

Nhằm giúp doanh nghiệp hiểu rõ hơn về các điểm yếu bảo mật được Oracle công bố vào ngày 14/01/2009 vừa qua, Công ty VietPace thực hiện phân tích một số điểm yếu quan trọng trong bản vá này.

Theo bản công bố chính thức của hãng ngày 14/01/2009, chúng ta thấy nhóm sản phẩm liên quan đến Cơ sở dữ liệu (Database) có đến 20 lỗi bảo mật, trong đó:

• 10 điểm yếu cho sản phẩm Oracle Database, phải có tài khoản hợp lệ thì mới có thể khai thác các điểm yếu này
• 9 điểm yếu có độ nguy hiểm cao nhất cho sản phẩm Oracle “Secure” Backup, tất cả điểm yếu đều không cần tài khoản cũng có thể khai thác được.
• 1 điểm yếu nguy hiểm cho sản phẩm Oracle TimesTen Data Server, điểm yếu này cũng không cần tài khoản hợp lệ để khai thác.

Dưới đây là bảng mô tả các lỗi bảo mật nguy hiểm trong bản vá CPU 01/2009 đã bị công bố mã tấn công minh họa trên Internet.

Mã lỗi	Tên thành phần ứng dụng bị lỗi	Giao thức sử dụng	Gói/Quyền cần dùng	Tấn công từ xa không cần xác thực	Độ nguy hiểm	Phiên bản bị lỗi
CVE-2008-5437	Job Queue	Oracle Net	Quyền chạy DBMS_IJOB	Không	5.5	9.2.0.8 9.2.0.8DV 10.1.0.5 10.2.0.4 11.1.0.6
CVE-2008-5440	TimesTen Data Server	HTTP	Không cần	Có	7.5	7.0.5.0.0
CVE-2008-5448	Oracle Secure Backup	HTTP	Không cần	Có	10.0	10.2.0.2

 

Điểm yếu bảo mật Job Queue – DBMS_IJOB

Mã điểm yếu

• CVE-2008-5437

Tác giả phát hiện điểm yếu

• Volker Solinus

Thông tin về sản phẩm bị lỗi

• Tiện ích DBMS_IJOB cho phép một tài khoản người dùng lập lịch chạy các tác vụ trong Oracle Database, và có thể quản trị các tác vụ lập lịch của các tài khoản khác. Tuy nhiên, tiện ích này không được mô tả trong tài liệu chuẩn của Oracle.
• Tiện ích phổ dụng hơn là DBMS_JOB, có chứng năng tương tự DBMS_IJOB, nhưng tiện ích này chỉ cho phép người tạo ra tác vụ mới có quyền quản trị tác vụ đó, ngay cả tài khoàn SYS cũng bị hạn chế này.

Phân tích điểm yếu

• Bình thường, một thay đổi dữ liệu bất kì trong Oracle Database đều bị ghi vết vào kho lưu vết của Oracle Database nếu chức năng ghi vết được cấu hình hợp lý. Tuy nhiên, với điểm yếu này thì các tác vụ thay đổi dữ liệu có thể bị xóa dấu vết khỏi kho lưu vết nếu tài khoản người dùng có quyền thực thi (EXECUTE) trên gói lệnh DBMS_IJOB.
• Điểm yếu này có thể bị khai thác để nâng quyền thành DBA.

Mã minh họa điểm yếu

• http://www.baomatoracle.com/kienthuc/cpu012009_dbms_ijob.sql.txt

Giải pháp khắc phục

• Thực hiện kiểm soát truy cập gói lệnh DBMS_IJOB thích hợp
• Hoặc cập nhật bản vá Oracle CPU-012009

Điểm yếu bảo mật Oracle Timesten Data Server

Mã điểm yếu

• CVE-2008-5440

Tác giả phát hiện điểm yếu

• Joxean Koret

Thông tin về sản phẩm bị lỗi

• Oracle Timesten được hãng giới thiệu lần đầu tiên vào 20/06/2005, là nền tảng cho kiến trúc ứng dụng đáp ứng yêu cầu nhanh theo thời gian thực; dữ liệu sẽ được lưu trữ, quản lý và truy xuất trực tiếp trên bộ nhớ vật lý, nhờ vậy các yêu cầu sẽ được đáp ứng nhanh nhất . Oracle Timesten thuộc vào nhóm sản phẩm Oracle Database.
• Xem thêm thông tin về sản phẩm tại đây: http://www.oracle.com/timesten/index.html

Phân tích điểm yếu

• Hình bên dưới minh họa mô hình ứng dụng Oracle Timesten tại trình chủ ứng dụng: 

 

• Theo mô hình này, phía trình chủ ứng dụng sẽ có một tiến trình Oracle Timesten tiếp nhận và xử lý các yêu cầu từ phía trình máy trạm gửi đến. Tuy nhiên, có một hàm lệnh của Oracle Timesten đã không kiểm chặt giá trị chuỗi truyền vào, đó là hàm evtdump.
• Bình thường, hàm evtdump?msg=thong_diep nhận tham số msg làm tham số đầu vào, và ghi giá trị của msg vào tập tin log trước khi ghi nội dung dump cấu trúc dữ liệu đang xử lý. Nhưng do hàm này không kiểm chặt giá trị chuỗi đầu vào của tham số msg, điểm yếu này đã bị khai thác để có thể thực thi một lệnh xấu bất kì.
• Lệnh này sẽ được thực thi với quyền của tài khoản kích hoạt chạy tiến trình Oracle Timesten, thường là tài khoản quản trị oracle đối với HĐH Unix và tài khoản Administrator với HĐH Windows.
• Dưới đây là log tại trình chủ ứng dụng ghi nhận tiến trình Timesten đã xử lý giá trị AAAA%25n của tham số msg như một lệnh:

(…)
# cat /var/TimesTen/log/ttmesg.log
19:07:38.87 Err :    : 18782: TT14000: TimesTen daemon internal error: subd: Main daemon has vanished
19:07:38.87 Err :    : 18785: TT14000: TimesTen daemon internal error: subd: Main daemon has vanished
19:07:38.87 Err :    : 18788: TT14000: TimesTen daemon internal error: subd: Main daemon has vanished
19:07:38.87 Err :    : 18791: TT14000: TimesTen daemon internal error: subd: Main daemon has vanished
19:07:38.87 Info: SRV: 18800: EventID=99| TimesTen daemon has disconnected, server is exiting…
19:07:39.54 Info:    : 18785: Listener terminating
19:07:39.54 Info:    : 18785: Listener exited, termination finishing
19:07:39.54 Info:    : 18785: Process termination complete
19:07:39.59 Info:    : 18791: Listener terminating
19:07:39.59 Info:    : 18782: Listener terminating
19:07:39.59 Info:    : 18788: Listener terminating
19:07:39.59 Info:    : 18791: Listener exited, termination finishing
19:07:39.59 Info:    : 18791: Process termination complete
19:07:39.59 Info:    : 18782: Listener exited, termination finishing
19:07:39.59 Info:    : 18782: Process termination complete
19:07:39.59 Info:    : 18788: Listener exited, termination finishing
19:07:39.59 Info:    : 18788: Process termination complete
19:07:40.59 Info: SRV: 18800: EventID=2| TimesTen Server is stopping
19:07:40.59 Info: SRV: 18800: EventID=99| Server trying to stop child server processes
19:07:40.59 Info: SRV: 18800: EventID=11| Main Server cleaned up all child server processes and exiting
(…)

Mã minh họa điểm yếu

• http://www.baomatoracle.com/kienthuc/cpu012009_Joxean_Koret_timesten.txt

Giải pháp khắc phục

• Cập nhật bản vá Oracle CPU-012009
  

Điểm yếu bảo mật Oracle Secure Backup

Mã điểm yếu

• CVE-2008-5448

Tác giả phát hiện điểm yếu

• Joxean Koret

Thông tin về sản phẩm bị lỗi

• Giải pháp sao lưu dữ liệu tập trung và mã hóa vào Tape, hỗ trợ sao lưu dữ liệu ở mức Hệ điều hành và Oracle Database.
• Xem thêm thông tin về sản phẩm: http://www.oracle.com/database/secure-backup.html

Phân tích điểm yếu

• Tương tự như lỗi bảo mật của Oracle Timesten, các thông số đầu vào của mã lệnh Web login.php tại trình chủ Web của Oracle Secure Backup đã không kiểm chặt giá trị truyền vào, vì vậy đã bị khai thác lỗi chèn mã nguy hiểm.
• Minh họa chèn mã ghi nội dung vào một tập tin bất kì tại trình chủ Oracle Secure Backup:

login.php?rbtool=cmd.exe+/c+echo+hello+world+%3E+c:\oracle.secure.backup.txt+;

• Các lệnh chèn được thực thi dưới quyền tài khoản chạy trình chủ Web của Oracle Secure Backup.

Mã minh họa điểm yếu

• http://www.baomatoracle.com/kienthuc/cpu012009_Joxean_Koret_oraclesecurebackup.txt

Giải pháp khắc phục

• Cập nhật bản vá Oracle CPU-012009

(VietPace)

Để nhận được sự tư vấn và hỗ trợ cập nhật bản vá lỗi, các bạn có thể liên với VietPace theo thông tin dưới đây:

• Địa chỉ: 123 Trương Định, Quận 3, TP. HCM - Điện thoại: +84 8 5.233.333 - Fax: +84 8 9.322.115 - Email: contact@vietpace.com

Các bạn có thể tham khảo một số thông tin liên quan đến chủ đề này:

• Bảng giá dịch vụ kỹ thuật Oracle - Sun
• Danh mục các khóa học bảo mật của Trung tâm VietPace