Oracle understreker at det hittil ikke er meldt om tilfeller der uvedkommende har greid å utnytte noen av de til sammen 19 sårbarhetene som David Litchfield, gründer i det britiske sikkerhetsselskapet NGSSoftware, har kartlagt.
Det offisielle amerikanske Computer Emergency Response Team (CERT) har samarbeidet med både Litchfield og Oracle, og lagt ut en oppdatert oversikt over alle sikkerhetshullene, med lenker til både fikser fra Oracle og utdypende materiale fra NGSSoftware.
Hullene gjelder først og fremst Oracle 9i Application Server, men også databasene 9i og 8i. De fordeler seg på sårbarhetstyper som bufferoversvømmelser, usikre standardinnstillinger, utilstrekkelig håndtering av adgangskontroll og utilstrekkelig validering av inndata.
Kyndig utnyttelse av sårbarhetene åpner for angrep der uvedkommende kan eksekvere vilkårlige kommandoer på offerets system, stenge tilgangen til offerets tjenester ("denial of service"), eller få tilgang til følsom informasjon.
I sin advarsel understreker CERT at sårbarhetene er alvorlige, og at systemansvarlige må sette av tid og ressurser til oppretting. De første meldingene om disse sårbarhetene ble gitt 6. februar i år. Siden har Litchfield informert om dem - og demonstrert hvordan de kan utnyttes - på åpne seminarer. Med varselet fra CERT må man regne med at sårbarhetene er gjenstand for stor oppmerksomhet fra kretser som ynder å bevise sin dyktighet til å snoke i systemer der de ikke har noe å gjøre.
Flere av sårbarhetene gjelder en PL/SQL-modul som benyttes i applikasjonstjeneren og begge de siste utgavene av databasen. I denne modulen er det flere buffere som kan oversvømmes. Det er videre et grensesnitt for administrasjon over web som i utgangspunktet ikke krever autentisering. Dessuten tillates eksekvering av kommandoer fra fjerntstående kilder uten autentisering. Den har også en defekt i sin håndtering av innkommende forespørsler i http. Det er med andre mange måter den kan utnyttes på til å videreføre kommandoer utenfra, og gi uvedkommende tilgang til følsom informasjon i databasene.
Slik formulerer CERT de 19 sårbarhetene:
2. Oracle 9i Database Server PL/SQL module allows remote command execution without authentication
3. Oracle9i Application Server allows unauthenticated access to PL/SQL applications via alternate Database Access Descriptor
4. Oracle 9i Application Server does not adequately handle requests for nonexistent JSP files thereby disclosing web folder path information
5. Oracle9i Application Server OWA_UTIL procedures expose sensitive information
6. Oracle9i Application Server Apache PL/SQL module vulnerable to buffer overflow via help page request Location: header
7. Oracle 9iAS default configuration allows arbitrary users to view sensitive configuration files
8. Oracle9i Application Server Apache PL/SQL module vulnerable to buffer overflow via help page request
9. Oracle 9iAS creates temporary files when processing JSP requests that are world-readable
10. Oracle9i Application Server PL/SQL Gateway web administration interface uses null authentication by default
11. Oracle9i Application Server Apache PL/SQL module vulnerable to buffer overflow via Database Access Descriptor password
12. Oracle 9iAS default configuration allows access to "globals.jsa" file
13. Oracle 9iAS default configuration uses well-known default passwords
14. Oracle 9iAS SOAP components allow anonymous users to deploy applications by default
15. Oracle9i Application Server Apache PL/SQL module vulnerable to buffer overflow via HTTP request
16. Oracle9i Application Server Apache PL/SQL module does not properly handle HTTP Authorization header
17. Oracle9i Application Server Apache PL/SQL module vulnerable to buffer overflow via HTTP Authorization header password parameter
18. Oracle9i Application Server Apache PL/SQL module vulnerable to buffer overflow via cache directory name
19. Oracle 9iAS XSQL Servlet ignores file permissions allowing arbitrary users to view sensitive configuration files
