VulDB: Oracle Database bis 10g EmChartBean Directory Traversal
Allgemein
scipID: 2841
Betroffen: Oracle Database bis 10g
Veröffentlicht: 17.01.2007 (Oliver Karow, Symantec)
Risiko: 
kritisch
Beschreibung
Oracle ist eine vor allem im professionellen Umfeld gern eingesetzte Datenbank-Lösung. Gleich mehrere Schwachstellen wurden bekanntgegeben. Eine davon betrifft die Komponente EmChartBean. Einige Eingaben werden keiner umfassenden Überprüfung unterzogen, wodurch sich eine Directory Traversal initiieren lässt. Dadurch können auf Dateien ausserhalb des Web-Verzeichnisses zugegriffen werden. Weitere Details oder ein Exploit sind nicht bekannt. Als Workaround wir empfohlen, den betroffenen Port mittels Firewalling zu schützen. Oracle selbst hat das Problem im CPU January 2006 (OPMN01) behoben.
Wahrhaftig ist dies eine sehr ernst zu nehmende Sicherheitslücke. Werden Details zu dieser Attacke bekannt, ist es nur eine Frage der Zeit, bis entsprechende Angriffs-Tools und Exploits erhältlich sein werden. Dies heisst jedoch nicht, dass man das Einspielen der entsprechenden Bugfixes aufschieben sollte. Die von Oracle zur Verfügung gestellten Patches sollten unverzüglich eingesetzt werden, um das Risiko eines erfolgreichen Angriffs zu minimieren.
Exploiting
Klasse: Directory Traversal
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: –
Massnahme: Den freigegebenen Patch einspielen.
Link: http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html
Snort: –
Pattern: –
Quellen
Advisory: http://www.red-database-security.com/advisory/oracle_sql_injection_dbms_aq_inv.html
CVE: CVE-2007-0222
OSVDB: –
Securityfocus: 22027
Secunia: 23794
X-Force: –
Securitytracker: –
VUPEN: –
Securiteam: http://www.securiteam.com/securitynews/5UP0E20KAG.html
Tecchannel: –
Heise: –
smSS: –
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)
