Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Negyedéves Oracle frissítések - Mennyire para?

2011.01.19. 09:07 | buherator | 1 komment

Megjelent az Oracle negyedéves frissítőcsomagja, amely összesen 66 javítást tartalmaz a cég termékeihez, beleértve az egykori Sun szoftvereit is. Az Oracle tanácslatai általában nem túl bőbeszédűek, ezért ritkán adok hírt róluk, de most megragadta a figyelmemet egy érdekesség:

A hivatalos blogposzttal és hibalistával együtt befutottak a ZDI figyelmeztetői is, melyekben azokat a hibákat részletezik, melyekről a sebezhetőség-kutatási programon keresztül szerzett tudomást az Oracle. Itt szóba kerül például a CVE-2010-3600 azonosítóval ellátott, az Enterprice Manager Grid Controlt érintő probléma, amely az Oracle szerint 7.5, a ZDI szerint viszont 10 CVSS ponttal rendelkezik (ez a skála használatos a hibák súlyosságának jellemzésére, a magasabb pontszám jelent durvább hibát). 

A különbséget az okozza, hogy míg a ZDI szerint a sebezhetőség az érintett rendszerek bizalmasságát, integritását és rendelkezésreállását is teljes mértékben befolyásolja (Complete besorolás), addig az Oracle ezen paraméterek meghatározásakor egy saját kategóriát, a Partial+-t alkalmazta. Az Oracle dokumentációja szerint

Partial - az exploit az erőforrások egy szűk rétegét, például egy adatbázis néhány tábláját érinti

Partial+ - az exploit a erőforrások széles rétegét, például az öszes adatbázistáblát, vagy egy teljes alrendszert érinti

A Complete kategóriába sorolt sebezhetőségek a NIST definiciói szerint a rendszer összes erőforrásához (összes rendszerfájl, teljes memória) hozzáférést engednek, a Partial hivatalos definiciója lényegében megegyezik az Oracle-ével. 

A cég ezen kívül leírja, hogy az üzemeltetőnek kell eldöntenie, hogy a Partial+ érintettségű csoportokat a saját rendszerében teljes (Complete) vagy részleges (Partial) érintettségűnek tekinti - kérdés, hogy hányan olvassák el ezt a tájékoztatót... 

A konkrét sebezhetőség leírása szerint tetszőleges fájl feltölthető a kiszolgálóra egy JSP szkripten keresztül, és mivel a HTTP kiszolgáló JSP feldolgozást is végez, a kódfuttatás triviálisan elérhető, így az a legfőbb kérdés, hogy milyen jogosultságokkal fut maga a kiszolgáló. A szoftver dokumentációja függelékben tér ki rá, hogy milyen *NIX-on felhasználókat és csoportokat kell létrehozni a telepítéshez, gyakorlati szempontból ugyanakkor kiváló alkalomnak tűnik a 2.5 órás telepítési idő levágására ennek a lépésnek az átugrása, Windowsra vonatkozó iránymutatást pedig egyáltalán nem találtam - innentől kezdve a magam részéről nem fűznék nagy reményeket hozzá, hogy a jól beállított privilégiumszintek fogják megállítani a támadót, és akkor még a különböző privilégiumemelési módszerekről nem is beszéltünk! (A telepítést nem csináltam meg, bármilyen első kézből származó infót szívesen veszek!)

Szóval aki Oracle termékeket üzemeltet, jó ha tisztában van vele, hogy a cég szereti "optimistán" megítélni a problémák súlyosságát, ami a biztonsági szakmában legtöbbször nem nyerő hozzáállás, általános szabályként pedig megfogalmazható, hogy a >=7.0 CVSS pontszámokra érdemes kiemelt figyelmet fordítani.

Címkék: oracle cvss zdi

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

|Z| 2011.01.19. 16:53:46

Oracle database server licensz: 950 USD/szerver
Oracle advanced security opció: 11500 USD/szerver
Oracle biztonságos és üzemeltethető konfiguráció beállítása: 2000 USD
Nézni ahogy egy oracle database patch üzemeltetési problémákat okoz, ezért nem lehet telepíteni: megfizethetetlen...

a kérdéseket megelőzve: nem, nem erről beszélek, hanem korábbiakról