NGSSoftware şirketinden David Litchfield tarafından bulunan açıklar arasında; buffer overflows, emniyetsiz default ayarlar, erişim kontrollerinde başarısızlık ve verinin geçerlilik onayı başarısızlıkları gibi konular var. CERT, bu açıkların hassas bilgiye izinsiz erişim, servisin yerine getirilememesi, dışarıdan başka kod ya da komutların programları içinde çalıştırılabilmesi gibi konularda sorun yaratabileceğini ikaz ediyor.
Oracle açıklar için yama üretirken, diğer yandan da bazı konfigürasyon değişiklikleri önerdi. Yamaları Oracle Security Alert #28 – Oracle Security Alert #25 ve daha çok bilgiyi MetaLink Web site (kayıt olmak gerekli) adreslerinden bulabilirsiniz.
CERT HTTP talebini ve konfigürasyon parametrelerini işleyen PL/SQL modülünde çeşitli buffer-overflow açıklar bulduğunu ikaz ediyor. CERT default konfigürasyon ayarlarının emniyetsiz bazı bileşenlerinin ve erişimi kısıtlayan sistemlerin başarısız bileşenlerinin Oracle Uygulama Sunucusu çalıştırılan sistemi açık bıraktığı ve bu nedenle de veritabanında yer alan bilgilerin risk altında olduğunu ikaz ediyor. PL/SQL gateway web yönetim arayüzünde belirtilen konfigürasyon parametrelerini işleyen kod’da da 2 buffer overflow açığı bulunuyor. CERT default olarak, PL/SQL gateway Web yönetim arayüzünde erişimin kısıtlanmamış olduğunu da belirtiyor.
Konfigürasyon ayarlarında da çeşitli açıklar var – Mesela, Oracle Uygulama Sunucusunun default kurulumunda, herkesçe bilinen şifreler, hassas bilgiye ve bazı uygulamalara kısıtlanmamış erişim. Ayrıca, Oracle Uygulama Sunucusu her yere aynı erişim yönetimini uygulamıyor. Korunan bölümlere erişime izin verirken, farklı bileşenler farklı kontroller yapıyor. Litchfield bir de hatalı HTTP talebinde bulunulduğu zaman PL/SQL modülünde tam olarak çalışmadığını tespit etti.
CERT açıkların bir kısmının Apache işleminin çalıştırılabilmesine müsade ettiğini söylüyor. UNIX sistemlerde, Apache işlemi genellikle “oracle” kullanıcısı olarak yürüyor. Windows sistemlerinde ise “system” kullanıcısı olarak. Her iki durumda da, bu açıklar sistemin saldırgan tarafından tam olarak kontrol edilebilir hale gelmesie neden olabilir.
Kaynak : 