Oraclub in Tomsk

 Oraclub Tomsk . . Невзламываемый Oracle9i взломан

НЕВЗЛАМЫВАЕМЫЙ ORACLE9I ВЗЛОМАН

http://www.pcweek.ru/?ID=182462
Алексей Лукацкий

Уж сколько раз твердили миру, что любые заявления о неуязвимости сразу привлекают толпы хакеров, которые, как мухи, начинают виться над непробиваемой защитой и все-таки находят способы проникновения и вывода из строя неприступной системы.

Об этом писал и я в своей статье ?Почему вы можете стать жертвой хакеров? (PCWeek-Online от 14 февраля 2002 г.). Так было раньше, так есть и сейчас, так будет и дальше. Этот тезис вновь подтвержден после выхода новой версии системы управления базами данных Oracle9i. Одним из основных эпитетов, которым награждали новую версию популярной СУБД, был ?unbreakable? ? ?невзламываемый?.

Кстати, до сих пор на главной странице сайта российского представительства Oracle можно найти большое число ссылок по данной теме. Вот только несколько из них: ?Независимые аналитики подтверждают ?неуязвимость? СУБД Oracle9i?, ?Нельзя сломать?, ?Неуязвимость: Oracle9i Application Server 2?, ?С выходом новой версии Вы можете спокойно доверить свой бизнес Oracle9iAS? и т. д.

После анонсирования девятой версии Oracle хакеры всех стран объединились с целью показать Ларри Эллисону, что он поторопился, назвав свое детище невзламываемым. И им это удалось.

Свою деятельность они разделили на два направления ? взлом самого Oracle9i и взлом сайта компании Oracle. Первое направление практически сразу принесло свои плоды ? 19 сентября была обнаружена уязвимость, которая приводила к раскрытию полного пути к файлу на Web-сервере. И хотя эта уязвимость имела самую низкую степень риска, она стала первой ласточкой, за которой последовали и другие.

Уже через месяц была обнаружена более серьезная уязвимость ? посылка HTTP-запроса длиной 3094 символа приводила к тому, что загрузка процессора на узле с запущенным Oracle9i Application Server достигала 100% и он уже не мог обрабатывать запросы других пользователей.

Для возврата сервера в работоспособное состояние его приходилось перезагружать. В этот же день, 18 октября, было обнаружено еще три уязвимости, приводящие к отказу в обслуживании Oracle9i. Дальше ? больше.

По данным группы X-Force, за прошедшие с появления девятой версии полгода было обнаружено 17 уязвимостей различной степени тяжести (см. таблицу).

п/п Дата Краткое описание Степень риска Тип атаки Платформа
1. 6.02.2002 Oracle PL/SQL external procedure could allow a remote attacker to execute any library function

http://www.iss.net/security_center/static/8089.php

Высокая По сети Все версии Oracle8i, все версии Oracle9i
2. 6.02.2002 Oracle9i Application Server long PL/SQL module request buffer overflow

http://www.iss.net/security_center/static/8095.php

Высокая По сети Все версии Oracle9i Application Server
3. 6.02.2002 Oracle9i Application Server PL/SQL module HTTP client Authorizationheader buffer overflow

http://www.iss.net/security_center/static/8096.php

Высокая По сети Все версии Oracle9i Application Server
4. 6.02.2002 Oracle9i Application Server PL/SQL module long cache directory name buffer overflow

http://www.iss.net/security_center/static/8097.php

Высокая По сети Все версии Oracle9i Application Server
5. 6.02.2002 Oracle9i Application Server PL/SQL module adddad form buffer overflow

http://www.iss.net/security_center/static/8098.php

Высокая По сети Все версии Oracle9i Application Server
6. 6.02.2002 Oracle9i Application Server PL/SQL pls module denial of service

http://www.iss.net/security_center/static/8099.php

Низкая По сети Все версии Oracle9i Application Server
7. 6.02.2002 Oracle9i Application Server OracleJSP could allow a remote attacker to view sensitive information

http://www.iss.net/security_center/static/8100.php

Средняя По сети Все версии Oracle9i Application Server
8. 28.12.2001 Oracle9iAS Web Cache null characters denial of service

http://xforce.iss.net/static/7765.php

Низкая По сети Все версии Oracle9i Application Server
9. 28.12.2001 Oracle9iAS Web Cache allows an attacker to gain privileges using webcached daemon

http://xforce.iss.net/static/7766.php

Средняя На узле Все версии Oracle9i Application Server
10. 28.12.2001 Oracle9iAS Web Cache stores admin password in $ORACLE_HOME/webcache/webcache.xml

http://xforce.iss.net/static/7768.php

Средняя На узле Все версии Oracle9i Application Server
11. 21.12.2001 Oracle9i Application Server ModPL/SQL buffer overflow

http://xforce.iss.net/static/7727.php

Высокая По сети Oracle9i Application Server 1.0.2.x.x
12. 21.12.2001 Oracle9i Application Server ModPL/SQL double decoding directory traversal

http://xforce.iss.net/static/7728.php

Средняя По сети Oracle9i Application Server 1.0.2.x.x
13. 18.10.2001 Orace9i Application server administration interface port denial of service

http://xforce.iss.net/static/7310.php

Средняя По сети Oracle9i Application Server 2.0.0.1.0
14. 18.10.2001 Oracle9i Application Server HTTP header denial of service

http://xforce.iss.net/static/7309.php

Средняя По сети Oracle9i Application Server 2.0.0.1.0
15. 18.10.2001 Oracle9i Application Server Web services exits process unexpectedly

http://xforce.iss.net/static/7307.php

Средняя По сети Oracle9i Application Server 2.0.0.1.0
16. 18.10.2001 Oracle9i Application Server Web service long string denial of service

http://xforce.iss.net/static/7308.php

Средняя По сети Oracle9i Application Server 2.0.0.1.0
17. 17.09.2001 Oracle Application Server '.jsp' file request could reveal path to Web directory

http://xforce.iss.net/static/7135.php

Низкая По сети Все версии Oracle9i Application Server

Самая последняя уязвимость, обнаруженная 6 февраля 2002 г., позволяла злоумышленнику удаленно выполнять абсолютно любое действие на сервере баз данных. Эта же дата ознаменовалась тем, что число уязвимостей Oracle 9i превысило число сертификатов качества (http://otn.oracle.com/deploy/security/seceval/content.html), выданных независимыми организациями, занимающимися тестированием в области обеспечения информационной безопасности.

В том числе Oracle имеет сертификаты соответствия ?Общим критериям? (уровень EAL-4), Европейским критериям ITSEC (уровни E3/F-C2 и E3/F-B1), американской ?Оранжевой книге? TCSEC (уровни C2 и B1) и даже российским критериям Гостехкомиссии России.

По словам Мэри Энн Дэвидсон, ведущего специалиста Oracle по информационной безопасности, ?сертификация в сфере безопасности ? не новая область для Oracle. Мы ведем такие работы уже более 10 лет?. На сайте Oracle приведена таблица, где сравнивается число сертификатов, полученных главными конкурентами ? Microsoft SQL Server и DB2, которые имеют один (TCSEC по уровню C2) и ни одного сертификата соответственно.

И далее задается вопрос: ?Кому вы будете доверять??. Однако несмотря на то, что Oracle имеет 14 сертификатов, число обнаруженных в нем уязвимостей превысило допустимые пределы, поставив под сомнение не только способность компании Oracle создавать защищенную продукцию, но и непредвзятость организаций, выдавших вышеназванные сертификаты качества.

Что касается второго направления, то если хакеры и не достигли своей цели, то существенно попортили кровь администраторам Web-сервера www.oracle.com. По словам представителя компании Oracle, обычное число атак на ее Internet-представительство составляет около 3000 в неделю.

После начала рекламной кампании Oracle, в которой каждое сообщение электронной почты (и не только) сопровождалось текстом ?Oracle9i. Unbreakable. Can't break it. Can't break in? (Oracle9i. Невзламываемый. Его невозможно взломать. В него невозможно проникнуть), число атак возросло на порядок и превысило 30 000 нападений в неделю.

Я сам, когда писал эту статью, столкнулся с тем, что сайт Oracle работает некорректно ? многие страницы (по иронии судьбы посвященные именно безопасности) я просто не смог увидеть, так как Web-сервер Oracle постоянно выдавал мне сообщения об ошибках.

В заключение хочу сказать, что, несмотря на появление новых возможностей в различном программно-аппаратном обеспечении, в том числе и в новой версии Oracle9i, а также повышенное внимание к теме безопасности со стороны различных организаций и компаний, абсолютной защиты по-прежнему нет. И ситуация с Oracle ? яркий тому пример.


PC Week/Russian Edition is published under license from Ziff-Davis Inc., New York, New York.
Editorial items appearing in PC Week/Russian Edition that were originally published in the U.S. edition of PC Week are the copyright property of Ziff-Davis Inc.
Copyright © 2002 Ziff-Davis Inc. All rights reserved

Комментарии представительства Oracle в СНГ

4 марта, 2002 http://www.pcweek.ru/?ID=182792

Автор статьи, к сожалению, не до конца разобрался в предмете. Дело в том, что существует два программных продукта ? Oracle9i Database (сервер баз данных) и Oracle9i Application Server (сервер приложений).

Из приведенного в статье списка атак 16 относятся именно к серверу приложений (это видно из таблицы в статье), и только одна (самая первая в таблице) ? к серверу баз данных. Для начала стоило бы разделить Oracle9i Application Server (проблемам с которым, собственно, и посвящена статья) и Oracle9i Database.

Слоган Unbreakable (?неуязвимый?) относится именно к Oracle9i Database (и об этом ясно и недвусмысленно сказано во всех маркетинговых документах, доступных на корпоративном сайте www.oracle.com).

Таким образом, по сути нужно рассматривать только одну атаку ? самую первую в списке. Надо сказать, что относится она вовсе не к серверу БД, а к внешней процедуре (external procedure), т. е. это взлом операционной системы, а не Oracle9i Database.

Используя этот трюк, можно стать пользователем операционной системы ? пользователем с именем Oracle, а это ничего не дает с точки зрения базы данных ? разве что ее можно скопировать как файл.

Что же касается сути вопроса, то процедура исполняется уже как отдельный модуль и с Oracle связана каналом передачи данных (здесь-то как раз и обнаружено уязвимое место). При чем здесь СУБД Oracle? Механизм named pipes ? это механизм операционной системы, а не СУБД.

Получается, что Oracle9i Database действительно оправдал все те сертификаты, которые ему были выданы международными организациями, если за полгода все хакеры мира не смогли нащупать что-либо более существенное, чем внешние процедуры (которыми, кстати, в защищенных системах не пользуются ? они применяются для выполнения обработки внешних по отношению к базе данных объектов).

За все это время была обнаружена единственная уязвимость, опасность которой в статье существенно преувеличена: утверждение, что ??уязвимость, обнаруженная 6 февраля 2002 г., позволяла злоумышленнику удаленно выполнять абсолютно любое действие на сервере баз данных...?, является попросту неверным.

Слова автора ?...несмотря на то, что Oracle имеет 14 сертификатов, число обнаруженных в нем уязвимостей превысило допустимые пределы...? абсолютно не соответствует действительности. На самом деле была обнаружена только одна уязвимость, да и то спорная!

Автор статьи также берет на себя ответственность ставить под сомнение объективность международных организаций по стандартам в области информационной безопасности, а также объективность Государственной технической комиссии при Президенте Российской Федерации (все эти организации сертифицировали СУБД Oracle на соответствие критериям информационной безопасности): ??поставив под сомнение не только способность компании Oracle создавать защищенную продукцию, но и непредвзятость организаций, выдавших вышеназванные сертификаты качества??.

Получается, что журналист PC Week обвиняет в недобросовестности по сути все институты, занятые сертификацией в области безопасности!

Таким образом, если разобраться объективно, то получается, что не было никаких катастрофических взломов сервера баз данных Oracle!


СТАТЬИ > Oracle9i взломан >
Oraclub_Tomsk | News | Links | FAQ | DOC | Статьи | Utility | Software | ФОРУМ |  Обратная связь
Пишите на адрес : oraclub@ngs.ru