Все новости от 27 февраля 2002 г.

Невзламываемый Oracle9i взломан

Уж сколько раз твердили миру, что любые заявления о неуязвимости сразу привлекают толпы хакеров, которые, как мухи, начинают виться над непробиваемой защитой и все-таки находят способы проникновения и вывода из строя неприступной системы.

Об этом писал и я в своей статье “Почему вы можете стать жертвой хакеров” (PCWeek-Online от 14 февраля 2002 г.). Так было раньше, так есть и сейчас, так будет и дальше. Этот тезис вновь подтвержден после выхода новой версии системы управления базами данных Oracle9i. Одним из основных эпитетов, которым награждали новую версию популярной СУБД, был “unbreakable” — “невзламываемый”.

Кстати, до сих пор на главной странице сайта российского представительства Oracle можно найти большое число ссылок по данной теме. Вот только несколько из них: “Независимые аналитики подтверждают “неуязвимость” СУБД Oracle9i”, “Нельзя сломать”, “Неуязвимость: Oracle9i Application Server 2”, “С выходом новой версии Вы можете спокойно доверить свой бизнес Oracle9iAS” и т. д.

После анонсирования девятой версии Oracle хакеры всех стран объединились с целью показать Ларри Эллисону, что он поторопился, назвав свое детище невзламываемым. И им это удалось.

Свою деятельность они разделили на два направления — взлом самого Oracle9i и взлом сайта компании Oracle. Первое направление практически сразу принесло свои плоды — 19 сентября была обнаружена уязвимость, которая приводила к раскрытию полного пути к файлу на Web-сервере. И хотя эта уязвимость имела самую низкую степень риска, она стала первой ласточкой, за которой последовали и другие.

Уже через месяц была обнаружена более серьезная уязвимость — посылка HTTP-запроса длиной 3094 символа приводила к тому, что загрузка процессора на узле с запущенным Oracle9i Application Server достигала 100% и он уже не мог обрабатывать запросы других пользователей.

Для возврата сервера в работоспособное состояние его приходилось перезагружать. В этот же день, 18 октября, было обнаружено еще три уязвимости, приводящие к отказу в обслуживании Oracle9i. Дальше — больше.

По данным группы X-Force, за прошедшие с появления девятой версии полгода было обнаружено 17 уязвимостей различной степени тяжести (см. таблицу).

п/п	Дата	Краткое описание	Степень риска	Тип атаки	Платформа
1.	6.02.2002	Oracle PL/SQL external procedure could allow a remote attacker to execute any library function http://www.iss.net/security_center/static/8089.php	Высокая	По сети	Все версии Oracle8i, все версии Oracle9i
2.	6.02.2002	Oracle9i Application Server long PL/SQL module request buffer overflow http://www.iss.net/security_center/static/8095.php	Высокая	По сети	Все версии Oracle9i Application Server
3.	6.02.2002	Oracle9i Application Server PL/SQL module HTTP client Authorizationheader buffer overflow http://www.iss.net/security_center/static/8096.php	Высокая	По сети	Все версии Oracle9i Application Server
4.	6.02.2002	Oracle9i Application Server PL/SQL module long cache directory name buffer overflow http://www.iss.net/security_center/static/8097.php	Высокая	По сети	Все версии Oracle9i Application Server
5.	6.02.2002	Oracle9i Application Server PL/SQL module adddad form buffer overflow http://www.iss.net/security_center/static/8098.php	Высокая	По сети	Все версии Oracle9i Application Server
6.	6.02.2002	Oracle9i Application Server PL/SQL pls module denial of service http://www.iss.net/security_center/static/8099.php	Низкая	По сети	Все версии Oracle9i Application Server
7.	6.02.2002	Oracle9i Application Server OracleJSP could allow a remote attacker to view sensitive information http://www.iss.net/security_center/static/8100.php	Средняя	По сети	Все версии Oracle9i Application Server
8.	28.12.2001	Oracle9iAS Web Cache null characters denial of service http://xforce.iss.net/static/7765.php	Низкая	По сети	Все версии Oracle9i Application Server
9.	28.12.2001	Oracle9iAS Web Cache allows an attacker to gain privileges using webcached daemon http://xforce.iss.net/static/7766.php	Средняя	На узле	Все версии Oracle9i Application Server
10.	28.12.2001	Oracle9iAS Web Cache stores admin password in $ORACLE_HOME/webcache/webcache.xml http://xforce.iss.net/static/7768.php	Средняя	На узле	Все версии Oracle9i Application Server
11.	21.12.2001	Oracle9i Application Server ModPL/SQL buffer overflow http://xforce.iss.net/static/7727.php	Высокая	По сети	Oracle9i Application Server 1.0.2.x.x
12.	21.12.2001	Oracle9i Application Server ModPL/SQL double decoding directory traversal http://xforce.iss.net/static/7728.php	Средняя	По сети	Oracle9i Application Server 1.0.2.x.x
13.	18.10.2001	Orace9i Application server administration interface port denial of service http://xforce.iss.net/static/7310.php	Средняя	По сети	Oracle9i Application Server 2.0.0.1.0
14.	18.10.2001	Oracle9i Application Server HTTP header denial of service http://xforce.iss.net/static/7309.php	Средняя	По сети	Oracle9i Application Server 2.0.0.1.0
15.	18.10.2001	Oracle9i Application Server Web services exits process unexpectedly http://xforce.iss.net/static/7307.php	Средняя	По сети	Oracle9i Application Server 2.0.0.1.0
16.	18.10.2001	Oracle9i Application Server Web service long string denial of service http://xforce.iss.net/static/7308.php	Средняя	По сети	Oracle9i Application Server 2.0.0.1.0
17.	17.09.2001	Oracle Application Server '.jsp' file request could reveal path to Web directory http://xforce.iss.net/static/7135.php	Низкая	По сети	Все версии Oracle9i Application Server

Самая последняя уязвимость, обнаруженная 6 февраля 2002 г., позволяла злоумышленнику удаленно выполнять абсолютно любое действие на сервере баз данных. Эта же дата ознаменовалась тем, что число уязвимостей Oracle 9i превысило число сертификатов качества (http://otn.oracle.com/deploy/security/seceval/content.html), выданных независимыми организациями, занимающимися тестированием в области обеспечения информационной безопасности.

В том числе Oracle имеет сертификаты соответствия “Общим критериям” (уровень EAL-4), Европейским критериям ITSEC (уровни E3/F-C2 и E3/F-B1), американской “Оранжевой книге” TCSEC (уровни C2 и B1) и даже российским критериям Гостехкомиссии России.

По словам Мэри Энн Дэвидсон, ведущего специалиста Oracle по информационной безопасности, “сертификация в сфере безопасности — не новая область для Oracle. Мы ведем такие работы уже более 10 лет”. На сайте Oracle приведена таблица, где сравнивается число сертификатов, полученных главными конкурентами — Microsoft SQL Server и DB2, которые имеют один (TCSEC по уровню C2) и ни одного сертификата соответственно.

И далее задается вопрос: “Кому вы будете доверять?”. Однако несмотря на то, что Oracle имеет 14 сертификатов, число обнаруженных в нем уязвимостей превысило допустимые пределы, поставив под сомнение не только способность компании Oracle создавать защищенную продукцию, но и непредвзятость организаций, выдавших вышеназванные сертификаты качества.

Что касается второго направления, то если хакеры и не достигли своей цели, то существенно попортили кровь администраторам Web-сервера www.oracle.com. По словам представителя компании Oracle, обычное число атак на ее Internet-представительство составляет около 3000 в неделю.

После начала рекламной кампании Oracle, в которой каждое сообщение электронной почты (и не только) сопровождалось текстом “Oracle9i. Unbreakable. Can't break it. Can't break in” (Oracle9i. Невзламываемый. Его невозможно взломать. В него невозможно проникнуть), число атак возросло на порядок и превысило 30 000 нападений в неделю.

Я сам, когда писал эту статью, столкнулся с тем, что сайт Oracle работает некорректно — многие страницы (по иронии судьбы посвященные именно безопасности) я просто не смог увидеть, так как Web-сервер Oracle постоянно выдавал мне сообщения об ошибках.

В заключение хочу сказать, что, несмотря на появление новых возможностей в различном программно-аппаратном обеспечении, в том числе и в новой версии Oracle9i, а также повышенное внимание к теме безопасности со стороны различных организаций и компаний, абсолютной защиты по-прежнему нет. И ситуация с Oracle — яркий тому пример.

 Предыдущие публикации:

 В продолжение темы:

Обсуждение и комментарии

	Alice - a_lisikukr.net 6 Mar 2002 11:19 AM
Представительство Oracle слишком мягко выразилось насчет автора этой статьи.
	Алексей Лукацкий - lukainfosec.ru 6 Mar 2002 2:59 PM
Уважаемая Alice имеет что-то добавить? Только, пожалуйста, по существу.
	Алексей Лукацкий - lukainfosec.ru 6 Mar 2002 3:55 PM
1. Меня обвиняют в том, что я подтасовываю факты и на страницах Oracle нет упоминаний на то, что Oracle9iAS назван невзламываемым. Я жалею, что не сделал screenshot этой страницы сайта российского представительства (сейчас там эти высказывания "почему-то" убрали и обновление страницы произошло 6 марта), но у меня есть screenshot английского сайта, на котором прямо написано "Oracle9i Application Server Release 2: Unbreakable" (желающим могу выслать по e-mail). Соответственно все приведенные мной уязвимости имеют право на существование и прямо относятся к теме статьи. 2. Говорить о моем опыте работы с Oracle может только тот, кто знает меня лично и знает очень хорошо. А не любой пользователь, прочитавший данную статью и мгновенно вставший на сторону компании, заинтересованной в продвижении своих продуктов. 3. Ну и, наконец, обвинение в том, что эта статья является заказной и мне за нее заплатили, я оставлю без комментариев. Если бы я был журналистом, меня еще можно было попытаться в этом обвинить, а т.к. я им не являюсь, то такие заявления я просто оставляю на совести их сделавших. PS. Интересный факт. Все, кто написал сообщения в мою поддержку, указали свой адрес e-mail, а кто написал гневные письма - остались анонимами.
	Непричастный 10 Mar 2002 10:50 AM
Правду говорить легко и приятно? Алексей, а чему вы удивляетесь? Любая крупная корпорация первым делом будет не исправлять ошибки, а смешивать с навозом того, кто посмел на них указать. Это только у Андерсена, мальчику, который сказал, что король голый, ничего не было :) Кроме того, обратите внимание на безупречную логику ответа. Ошибка в сервере признается, но считается неважной, а куча ошибок в сервере приложений отметается немедленно, как не относящееся к СУБД. Хорошо, не относится, хотя Лари постоянно твердит о единой платформе Oracle9i. Пусть. Но отвечать то надо и за другие свои продукты, а ответить нечего, вот и начинают мочить автора, так и не ответив на большую часть фактического материала. Так что там по поводу остальных дырок? На мой взгляд, это очень по корпоративному. А ведь защищаться можно было вполне прилично, сравнив например число дырок в продуктах конкурентах, где их на порядки больше. Да, Oracle не неуязвим, как опять сгоряча брякнул Лари, но он пока лучшее из того, что реально используется. Если бы ответ был таким, то он был бы честным и информативным. А так, он просто демонстрирует трусость московского представительства компании. Сказано что не уязвим, значит так и есть. А кто не согласен...
	Vlad - cybervladcybervlad.port5.com 12 Mar 2002 1:18 PM
Ну не хочет Оракул (символично?) признавать, что погорячился, граница между настойчивостью и упрямством уже пройдена. Причем, такая ситуация не только в российском представительстве, это позиция корпорации. См. http://bugtraq.ru/rsn/archive/2002/03/15.html точнее http://www.theregister.co.uk/content/55/24289.html
	Nick 26 Mar 2002 7:08 AM
Ребята, а не кажется ли вам, что эта была специальная акция по выявлению дырок в оракле. Они их быстренько залатают и потом взломать оракл станет гораздо труднее.