VulDB: Oracle Database 8.x PLSQLExclusion korrupte Anfrage umgehen
Allgemein
scipID: 2015
Betroffen: Oracle Database 8.x
Veröffentlicht: 26.01.2006 (David Litchfield)
Risiko: 
kritisch
Beschreibung
Oracle ist eine vor allem im professionellen Umfeld gern eingesetzte Datenbank-Lösung. David Litchfield entdeckte, dass sich mit korrupten HTTP-Anfragen die Limitierungen in PLSQLExclusion umgehen lassen. Ein Angreifer kann so unter Umständen nach Belieben eigene Kommandos an die Datenbank schicken. Dadurch lassen sich erweiterte Rechte erlangen. Genaue technische Details oder ein Exploit sind nicht bekannt. Als Workaround wird der Einsatz eines Web-Proxies empfohlen, der nicht erwünschte HTTP-Anfragen unterbindet. Hinweise zur Umsetzung eines Filters sind im Original-Posting vorhanden.
Eine wirklich hohe Verbreitung geniessen Oracle-Produkte im professionellen Umfeld. Umso kritischer erscheint deshalb das Problem, mit dem sich erweiterte Rechte erlangen lassen. Oracle wurde frühzeitig über diese informiert und über die weiteren Schritte zur Behebung befragt. Das Ausbleiben einer Antwort und das Fehlen der Patches im vierteljährlichen Patch-Zyklus von Oracle sah David Litchfield gezwungen, direkt mit den Schwachstellen an die Öffentlichkeit zu gehen.
Exploiting
Klasse: Eingabeungültigkeit
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Hersteller wurde über die Schwachstelle informiert.
Bestätigung: http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html
Massnahme: Mittels Firewalling die Kommunikation zu den Ports bzw. Hosts einschränken.
Link: http://www.oracle.com
Snort: –
Pattern: –
Quellen
Advisory: http://lists.grok.org.uk/pipermail/full-disclosure/2006-January/041742.html
CVE: CVE-2006-0435
OSVDB: 22719
Securityfocus: 16384
Secunia: 19859
X-Force: 24363
Securitytracker: 1015961
VUPEN: ADV-2006-1571
Securiteam: –
Tecchannel: –
Heise: –
smSS: smSS 19. Februar 2006
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
