由於擔心甲骨文沒有修復的多個安全漏洞會造成危害,一位安全研究人員公開了六個安全漏洞(其中有三個高風險漏洞)並且提供了繞過這些安全漏洞的方法。
Red-Database-Security GmbH公司的一位安全研究人員Alexander Kornbrust稱,在他公開這些安全漏洞的細節之前,他曾試圖公平地與甲骨文打交道。但是,650多天(663天至718天之間)的等待應該足夠了,特別是對於一家大公司來說。他補充說,他在三個月前還曾通知甲骨文說,如果甲骨文在7月份的安全補丁中不修復這些安全漏洞,他將公開宣布這些安全漏洞。Kornbrust還向甲骨文提供了額外的時間修復這些安全漏洞,如果甲骨文需要延長時間的話。但是,甲骨文從來沒有要求額外的時間。
Kornbrust的情況並不是孤立的。業內普遍都知道,包括NGSSoftware軟件公司的David Litchfield在內的許多安全人員都曾向甲骨文報告過安全問題,而甲骨文一直都沒有解決。許多報告的安全問題都有一年多時間了。
有些人認為,甲骨文和Red-Database-Security公司之間存在溝通問題。Kornbrust說,存在溝通問題是可能的。但是,為什麼David Litchfield報告的13高危等級的安全漏洞和4個中等的安全漏洞在將近一年的時間裡都沒有修復呢?甲骨文下一次發布安全補丁的時間是在2005年10月份,那些漏洞的報告時間超過一年了。我聽說iDefense和AppSecInc等公司也對緩慢的安全漏洞處理過程提出了同樣的抱怨。
Kornbrust表示,最嚴重的一個安全漏洞能夠通過“Oracle Reports”中的“desname”程序覆蓋任何文件。這個安全漏洞影響Oracle Reports6.0、6i、9i和10g版本。Oracle Reports是甲骨文應用服務器軟件中的一個組件,用於電子商務套裝軟件中,大多數大型企業都使用這個軟件作為企業應用的報告工具。他說,通過修改一個URL,黑客能夠摧毀在網絡上的甲骨文應用服務器。通過“Google Hacking”可以查找到安全漏洞報告服務器。黑客在幾分鐘之內就可以摧毀幾台應用服務器。他還指出,兩個允許操作系統執行命令的安全漏洞也特別嚴重。“Oracle Forms Services”中存在一個高危等級的安全漏洞。這個軟件是甲骨文應用服務器軟件的一個組件,用於甲骨文電子商務套裝軟件和許多企業應用程序中。Kornbrust說,這個安全漏洞能夠讓操作系統執行命令。
這個安全漏洞影響甲骨文Oracle (Web) Forms 4.5、5.0、6.0、6i、9i和10g版。
“Oracle Forms Services”可以從任何目錄和任何在應用服務器中的用戶那裡啟動可執行的表格(*.fmx)文件。Kornbrust在安全公告中稱,這些表格可以作為甲骨文用戶和系統(Windows)用戶執行。攻擊者向應用服務器上載一個精心制作的可執行表格文件就可以執行任何操作系統命令並且接管應用服務器的控制權。文件上載可通過Webdav、SMB、Webutil、SAMBA、NFS和FTP等多種途徑。通過使用這種表格或者具有絕對路徑的模塊參數,攻擊者就可以從任何目錄和任何用戶那裡執行那些可執行的表格文件。
還有一個高風險安全漏洞能夠讓攻擊者通過未經授權的“Oracle Reports”軟件運行任何操作系統命令。這個安全漏洞影響Oracle Reports 6.0、6i、9i和10g版。
這個安全公告稱:“Oracle Reports”能夠從應用服務器中的任何目錄和任何用戶那裡啟動可執行的報告文件(*.rep 或者 *.rdf文件)。這些報告可作為甲骨文用戶或者系統(Windows)用戶執行。攻擊者向應用服務器上載精心制作的報告文件就可以執行任何系統命令或者讀、寫應用服務器中的文件(如包含甲骨文口令的wdbsvr.app文件)。通過使用這種具有絕對路徑的報告參數,攻擊者就可以從任何目錄和任何用戶那裡執行那些可執行的報告文件。
其它安全漏洞不太嚴重,包括兩個中等風險的信息暴露安全漏洞,一個“desformat”安全漏洞,和另一個在個性化參數中的漏洞。其余的低風險的交叉站點腳本影響“Oracle Reports”軟件。
Korbrust建議說,用戶應該認真閱讀這些安全公告,設法理解這些問題並且首先在自己的測試系統中采取繞過這些漏洞的措施。如果通過測試,他們應該在生產系統中采取這些繞過漏洞的措施。
Kornbrust做結論說,用戶應該質問甲骨文,為什麼它要用這樣長的時間修復這些安全漏洞。是甲骨文的安全團隊太小不能處理所有這些問題嗎?
