由於擔心甲骨文沒有修復的多個安全漏洞會造成危害
一位安全研究人員公開了六個安全漏洞(其中有三個高風險漏洞)並且提供了繞過這些安全漏洞的方法
RedDatabaseSecurity GmbH公司的一位安全研究人員Alexander Kornbrust稱在他公開這些安全漏洞的細節之前他曾試圖公平地與甲骨文打交道但是多天(天至天之間)的等待應該足夠了特別是對於一家大公司來說他補充說他在三個月前還曾通知甲骨文說如果甲骨文在月份的安全補丁中不修復這些安全漏洞他將公開宣布這些安全漏洞Kornbrust還向甲骨文提供了額外的時間修復這些安全漏洞如果甲骨文需要延長時間的話但是甲骨文從來沒有要求額外的時間
Kornbrust的情況並不是孤立的業內普遍都知道包括NGSSoftware軟件公司的David Litchfield在內的許多安全人員都曾向甲骨文報告過安全問題而甲骨文一直都沒有解決許多報告的安全問題都有一年多時間了
有些人認為甲骨文和RedDatabaseSecurity公司之間存在溝通問題Kornbrust說存在溝通問題是可能的但是為什麼David Litchfield報告的高危等級的安全漏洞和個中等的安全漏洞在將近一年的時間裡都沒有修復呢?甲骨文下一次發布安全補丁的時間是在年月份那些漏洞的報告時間超過一年了我聽說iDefense和AppSecInc等公司也對緩慢的安全漏洞處理過程提出了同樣的抱怨
Kornbrust表示最嚴重的一個安全漏洞能夠通過Oracle Reports中的desname程序覆蓋任何文件這個安全漏洞影響Oracle Reportsii和g版本Oracle Reports是甲骨文應用服務器軟件中的一個組件用於電子商務套裝軟件中大多數大型企業都使用這個軟件作為企業應用的報告工具他說通過修改一個URL黑客能夠摧毀在網絡上的甲骨文應用服務器通過Google Hacking可以查找到安全漏洞報告服務器黑客在幾分鐘之內就可以摧毀幾台應用服務器他還指出兩個允許操作系統執行命令的安全漏洞也特別嚴重Oracle Forms Services中存在一個高危等級的安全漏洞這個軟件是甲骨文應用服務器軟件的一個組件用於甲骨文電子商務套裝軟件和許多企業應用程序中Kornbrust說這個安全漏洞能夠讓操作系統執行命令
這個安全漏洞影響甲骨文Oracle (Web) Forms ii和g版
Oracle Forms Services可以從任何目錄和任何在應用服務器中的用戶那裡啟動可執行的表格(*fmx)文件Kornbrust在安全公告中稱這些表格可以作為甲骨文用戶和系統(Windows)用戶執行攻擊者向應用服務器上載一個精心制作的可執行表格文件就可以執行任何操作系統命令並且接管應用服務器的控制權文件上載可通過WebdavSMBWebutilSAMBANFS和FTP等多種途徑通過使用這種表格或者具有絕對路徑的模塊參數攻擊者就可以從任何目錄和任何用戶那裡執行那些可執行的表格文件
還有一個高風險安全漏洞能夠讓攻擊者通過未經授權的Oracle Reports軟件運行任何操作系統命令這個安全漏洞影響Oracle Reports ii和g版
這個安全公告稱:Oracle Reports能夠從應用服務器中的任何目錄和任何用戶那裡啟動可執行的報告文件(*rep 或者 *rdf文件)這些報告可作為甲骨文用戶或者系統(Windows)用戶執行攻擊者向應用服務器上載精心制作的報告文件就可以執行任何系統命令或者讀寫應用服務器中的文件(如包含甲骨文口令的wdbsvrapp文件)通過使用這種具有絕對路徑的報告參數攻擊者就可以從任何目錄和任何用戶那裡執行那些可執行的報告文件
其它安全漏洞不太嚴重包括兩個中等風險的信息暴露安全漏洞一個desformat安全漏洞和另一個在個性化參數中的漏洞其余的低風險的交叉站點腳本影響Oracle Reports軟件
Korbrust建議說用戶應該認真閱讀這些安全公告設法理解這些問題並且首先在自己的測試系統中采取繞過這些漏洞的措施如果通過測試他們應該在生產系統中采取這些繞過漏洞的措施
Kornbrust做結論說用戶應該質問甲骨文為什麼它要用這樣長的時間修復這些安全漏洞是甲骨文的安全團隊太小不能處理所有這些問題嗎?
From:http://tw.wingwit.com/Article/program/Oracle/201311/17898.html