Posts etiquetados ‘oracle’

  1. Oracle Sun Convergence CVE-2010-0896 Remote Address Book/Mail Filter Vulnerability
  2. Oracle Java System Access Manager CVE-2010-0894 Remote Vulnerability
  3. Oracle OpenSolaris CVE-2010-0889 Local Information Disclosure Vulnerability
  4. Oracle Solaris CVE-2010-0895 Unspecified Local Vulnerability
  5. Oracle Industry Product Suite CVE-2010-0863 Oracle Retail Plan In-Season Vulnerability
  6. Oracle Sun Java System Directory Server CVE-2010-0897 Remote Vulnerability
  7. Oracle E-Business Suite CVE-2010-0859 Remote Oracle Application Object Library Vulnerability
  8. Oracle Industry Applications CVE-2010-0875 Remote Thesaurus Management System Vulnerability
  9. Oracle Communications Industry Suite CVE-2010-0874 Remote Vulnerability
  10. Oracle Industry Products Suite CVE-2010-0864 Remote Retail Place In-Season Vulnerability
  11. Oracle Collaboration Suite CVE-2010-0881 Remote User Interface Components Vulnerability
  12. Oracle Convergence CVE-2010-0893 Unspecified Remote Vulnerability
  13. Oracle Life Sciences Industry Suite CVE-2010-0876 Remote Vulnerability
  14. Oracle Industry Product Suite CVE-2010-0862 Remote Vulnerability
  15. Oracle Fusion Middleware CVE-2010-0872 Remote Oracle Internet Directory Vulnerability
  16. Oracle Fusion Middleware CVE-2010-0856 Remote Portal Vulnerability
  17. Oracle Solaris CVE-2010-0882 Local Trusted Extensions Vulnerability
  18. Oracle Database CVE-2010-0860 Remote Core RDBMS Vulnerability
  19. Oracle Transportation Manager CVE-2010-0869 Oracle Transportation Management Remote Vulnerability
  20. Oracle Fusion Middleware CVE-2010-0855 Remote Portal Vulnerability
  21. Oracle E-Business Suite CVE-2010-0858 Remote E-Business Intelligence Vulnerability
  22. Oracle E-Business Suite CVE-2010-0871 Oracle Application Object Library Remote Vulnerability
  23. Oracle Database CVE-2010-0851 Remote XML DB Vulnerability
  24. Oracle Fusion Middleware CVE-2010-0086 Remote Portal Vulnerability
  25. Oracle PeopleSoft Enterprise and JD Edwards EnterpriseOne CVE-2010-0878 PeopleTools Vulnerability
  26. Oracle E-Business Suite CVE-2010-0857 Remote Oracle Workflow Cartridge Vulnerability
  27. Oracle E-Business Suite CVE-2010-0865 Oracle Agile Engineering Data Management Remote Vulnerability
  28. Oracle PeopleSoft Enterprise and JD Edwards EnterpriseOne CVE-2010-0877 PeopleTools Vulnerability
  29. Oracle Database CVE-2010-0867 Remote JavaVM Vulnerability
  30. Oracle E-Business Suite CVE-2010-0861 Oracle HRMS (Self Service) Remote Vulnerability
  31. Oracle PeopleSoft Enterprise and JD Edwards EnterpriseOne CVE-2010-0880 PeopleTools Vulnerability
  32. Oracle Database CVE-2010-0866 Remote JavaVM Vulnerability
  33. Oracle Database CVE-2010-0870 Remote Change Data Capture Vulnerability
  34. Oracle Database CVE-2010-0852 Remote XML DB Vulnerability
  35. Oracle Sun Ray Server Software CVE-2010-0888 Remote Device Services Vulnerability
  36. Oracle Fusion Middleware CVE-2010-0853 Oracle Internet Directory Remote Vulnerability
  37. Oracle Cluster CVE-2010-0884 Unspecified Local Vulnerability
  38. Oracle Sun Management Center CVE-2010-0891 Remote Vulnerability
  39. Oracle Sun Java System Communications Express CVE-2010-0885 Remote Address Book Vulnerability
  40. Oracle Cluster CVE-2010-0883 Unspecified Local Vulnerability
  41. Oracle Solaris CVE-2010-0890 Local Vulnerability

fuente: securityfocus.org

Oracle has released advance notification regarding the April 2010 critical patch update to be released on April 13, 2010. The update addresses 47 vulnerabilities affecting the following software:

  • Oracle Database
  • Oracle Fusion Middleware
  • Oracle Collaboration Suite
  • Oracle E-Business Suite
  • Oracle PeopleSoft Enterprise and JD Edwards EnterpriseOne
  • Oracle Industry Suite
  • Oracle Solaris Products

Individual records will be created to better document these issues when the advisory is released.

REFERENCIA

Oracle Critical Patch Update Pre-Release Announcement – April 2010 (Oracle)

fuente: securityfocus.com

Oracle Database is prone to multiple remote privilege-escalation issues because it fails to properly restrict access to certain packages.

he attacker can exploit these issues to escalate their privileges to DBA or execute arbitrary operating system commands with SYSTEM privileges, leading to a complete compromise of an affected computer.

These vulnerabilities affect Oracle Database 11gR2. One of the issues also affects Oracle Database 10gR2.

REFERENCIA DE LA VULNERABILIDAD

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones  necesarias, para ayudar a mitigar los riesgos.

fuente: securityfocus.com


Oracle Times Ten In-Memory Database is prone to a remote denial-of-service vulnerability.

An attacker can exploit this issue to cause the application to crash, denying service to legitimate users.

Oracle Times Ten In-Memory Database 7.0.5 is vulnerable; other versions may also be affected.

Published: Feb 01 2010 12:00AM | Updated: Feb 01 2010 05:21PM

REFERENCIA DE LA VULNERABILIDAD

fuente: securityfocus.com


Oracle al estilo de Microsoft también ha puesto una fecha para publicar sus actualizaciones, a este día le han llamado Critical Patch Update (CPU), y en está ocasión Oracle ha publicado 24 actualizaciones de seguridad para sus bases de datos, servidor de aplicaciones y otros productos que han sido considerados como críticas.

Las actualizaciones publicadas afectan a Oracle Database, Oracle Application Server, Oracle WebLogic Server, Oracle E-Business Suite, así como a otros productos. Además estás actualizaciones también resuelven algunos problemas relacionados con Oracle E-Business Suite, PeopleSoft, JD Edwards, JRockit y Primavera.

Oracle recomienda encarecidamente que se instalen estás actualizaciones tan pronto como sea posible, puesto que los fallos de seguridad que resuelven estos parches permiten a un atacante comprometer un sistema de forma remota sin autenticación previa.

Oracle SECURITY UPDATES

fuente: websecurity.es

Cuando se realiza una auditoria, siempre es recomendable seguir una serie de pasos para no pasar por alto ningún detalle que pueda resultar crucial para nuestra investigación; a continuación un  pequeño listado de las cosas que debemos estar pendientes cuando auditamos una base de datos oracle.

1). Determinar si en la BD esta activo el modo de operación en ARCHIVELOG o NONARCHIVELOG. Si este no esta activo, la evidencia de ataque o cambios serán sobrescritos por un nuevo redo.

  • Se puede determinar realizando una sentencia SQL a la BD:  * SELECT VALUE V$PARAMETER WHERE FROM NAME=’archiv_log_start’;

2). Análisis de los Oracle Data Blocks, para determinar:

  • Registros eliminados
  • Localizar bloques asignados a tablas (OBJETOS DE INTERÉS)
  • Seguimiento de Objetos creados y eliminados
  • Localización de tablas eliminadas
  • Localización de Funciones eliminadas

3). Obtención del SID de la BD

4). Enumeración de usuarios

  • SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;
  • SELECT USERID, COMMENT$TEXT FROM SYS.AUD$;

5). Consultar Ataques de Fuerza bruta o Diccionario a cuentas de usuario

  • SQL> SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;
  • SELECT NAME, LCOUNT FROM USER$ WHERE LCOUNT>0;
  • SELECT NAME, LTIME FROM USER$ WHERE ASTATUS = 4;

6). Consulta de Ataques de Fuerza Bruta a la cuenta SYS

7). Consulta de intentos del exploit AUTH_ALTER_SESSION

  • SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;

8). Consulta de intentos de iniciar una sesiÛn la base de datos a travÈs de XML (XDB)

  • SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;
  • SELECT COMMENT$TEXT FROM SYS.AUD$ WHERE USERID = ‘DBSNMP’;
  • SELECT TERMINAL,SPARE1,TIMESTAMP# FROM SYS.AUD$ WHERE USERID=’DBSNMP’;

9). Consulta si la Auditoria esta habilitada

  • SELECT USER_ID, SESSION_ID, SAMPLE_TIME FROM SYS.WRH$_ACTIVE_SESSION_HISTORY ORDER BY SAMPLE_TIME;
  • SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;
  • SELECT USERID,ACTION#,TIMESTAMP#,LOGOFF$TIME FROM AUD$;

10). Consulta del archivo sqlnet.log,Agntsrvc.log, spfilesid.ora, o el init.ora todas las ubicaciones referentes a estos parámetros:

  • audit_file_dest ——-> Sistema de Auditoria (ORACLE_HOME/rdbms/audit)
  • background_dump_dest ——-> archivo alert.log y tracer de procesos ($ORACLE_HOME/admin/$ORACLE_SID/bdump)
  • core_dump_dest ——-> archivos Oracle core dump ($ORACLE_HOME/DBS/)
  • db_recovery_file_dest ——-> redo logs, flashback logs, y RMAN backups
  • user_dump_dest ——-> Archivos trace debuggin procesos/usuarios (/oracle/utrc)
  • utl_file_dir ——-> Especifica uno o m·s directorios que Oracle debe utilizar para PL/SQL archivos E/S.
  • control_files ——-> Especifica uno o varios nombres de archivos de control de Oracle
  • db_create_file_dest ——-> Especifica la ubicación predeterminada de archivos de datos administrados por Oracle.
  • db_create_online_log_dest_n—-> Especifica la ubicación de los redo logs y file control
  • log_archive_dest ——-> Es aplicable solo si la BD esta en modo de ARCHIVELOG
  • log_archive_dest_n ——-> Define hasta 10 archivos de registros logs.

11). Consulta de archivos Log Listener (ORACLE_HOME/network/admin/listener.ora) (lsnrctl status me dara la ubicación actual)

12). Revisión de los LOGS de sentencias(SQL $ORACLE_HOME/bin/LOGIN.SQL,$ORACLE_HOME/dbs/LOGIN.SQL,$ORACLE_HOME/SQLPlus/admin/glogin.sql)

13). Consultando informacion de los inicios de Sesion:

  • SELECT USER_ID, SESSION_ID, SAMPLE_TIME FROM SYS.WRH$_ACTIVE_SESSION_HISTORY

14). Consultar una lista de usuarios y roles, usuarios con función de DBA, para buscar inconsistencias,o usuarios creados por un atacante y la generación de contraseñas fuertes con la validación de los hash, cuentas bloqueadas, tiempos de password

  • SELECT USER#, NAME, ASTATUS, PASSWORD, CTIME, PTIME, LTIME FROM SYS.USER$ WHERE TYPE#=1;
  • SELECT U.NAME AS “GRANTEE”, U2.NAME AS “ROLE” FROM SYS.USER$ U,SYS.USER$ U2, SYS.SYSAUTH$ A WHERE U.USER# = A.GRANTEE# AND PRIVILEGE# = U2.USER#;

15). Consultar una lista de objetos y privilegios en el sistema

  • SELECT U.NAME AS “GRANTEE”, P.NAME AS “PRIVILEGE”, U2.NAME AS “OWNER”, O.NAME AS “OBJECT” FROM SYS.USER$ U, SYS.USER$ U2,SYS.TABLE_PRIVILEGE_MAP P, SYS.OBJ$ O, SYS.OBJAUTH$ A WHERE U.USER# =A.GRANTEE# AND A.OBJ# = O.OBJ# AND P.PRIVILEGE = A.PRIVILEGE# AND O.OWNER#=U2.USER#;
  • SQL> SELECT OBJ#, OWNER#, NAME, TYPE#, CTIME, MTIME, STIME FROM SYS.OBJ$ ORDER BY CTIME ASC;

16). Consulta de tablas eliminadas

  • SELECT U.NAME, R.ORIGINAL_NAME, R.OBJ#, R.DROPTIME, R.DROPSCN FROM SYS.RECYCLEBIN$ R, SYS.USER$ U WHERE R.OWNER#=U.USER#;

17). Consulta de Directorios, archivos datos, archivos externos, tablas externas, buscando elementos perdidos o ubicados en sitios diferentes por el atacante.

  • SELECT T.NAME AS “TABLESPACE”, D.NAME AS “FILNAME” FROM V$DATAFILE D, TS$ T WHERE T.TS#=D.TS#;
  • SELECT U.NAME AS “OWNER”, O.NAME AS “DIRECTORY”, D.OS_PATH AS “PATH” FROM SYS.OBJ$ O, SYS.USER$ U, SYS.DIR$ D WHERE U.USER#=O.OWNER# AND O.OBJ#=D.OBJ#;
  • SELECT O.NAME, D.DEFAULT_DIR FROM SYS.OBJ$ O, SYS.EXTERNAL_TAB$ D WHERE D.OBJ# = O.OBJ#;

18). El Monitor del Sistema (SMON) MON_MOD$ Table

  • SELECT U.NAME AS “OWNER”, O.NAME AS “OBJECT”, M.OBJ#, M.INSERTS,M.UPDATES, M.DELETES, M.TIMESTAMP FROM SYS.MON_MODS$ M, SYS.USER$ U,SYS.OBJ$ O WHERE O.OBJ#=M.OBJ# AND U.USER#=O.OWNER#;

19). Revision de Triggers al encendido, apagado, inicio y terminacion de sesion

  • SELECT U.NAME AS “OWNER”, O.NAME AS “ENABLED_TRIGGER_NAME”,DECODE(T.TYPE#, 0, ‘BEFORE’,2, ‘AFTER’,’NOTSET’) AS “WHEN” FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1;
  • SELECT U.NAME AS “OWNER”, O.NAME AS “ENABLED_TRIGGER_NAME” FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1 AND BITAND(T.SYS_EVTS,1) = 1;
  • SELECT U.NAME AS “OWNER”, O.NAME AS “ENABLED_TRIGGER_NAME” FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1 AND BITAND(T.SYS_EVTS,2) = 2;
  • SELECT U.NAME AS “OWNER”, O.NAME AS “ENABLED_TRIGGER_NAME” FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1 AND BITAND(T.SYS_EVTS,8) = 8;
  • SELECT U.NAME AS “OWNER”, O.NAME AS “ENABLED_TRIGGER_NAME” FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1 AND BITAND(T.SYS_EVTS,16) = 16;

20). Consulta de librerias, que puedan estar ejecutando codigo arbitrario(malicioso)

  • SELECT U.NAME AS “OWNER”, O.NAME AS “LIBRARY”, L.FILESPEC AS “PATH” FROM SYS.LIBRARY$ L, SYS.USER$ U, SYS.OBJ$ O WHERE O.OBJ#=L.OBJ# AND O.OWNER#=U.USER#;

21). Consultas de FlashBack (nuevos privilegios, derechos asignados, nuevos objetos, objetos eliminados) entre la tabla actual y la anterior en un tiempo determinado.

  • SELECT GRANTEE#, PRIVILEGE# FROM SYS.SYSAUTH$ MINUS SELECT GRANTEE#, PRIVILEGE# FROM SYS.SYSAUTH$ AS OF TIMESTAMP(SYSDATE – INTERVAL ‘3600′ MINUTE);
  • SELECT NAME FROM SYS.OBJ$ MINUS SELECT NAME FROM SYS.OBJ$ AS OF TIMESTAMP(SYSDATE – INTERVAL ‘156′ MINUTE);
  • SELECT NAME FROM SYS.OBJ$ AS OF TIMESTAMP(SYSDATE – INTERVAL ‘156′ MINUTE) MINUS SELECT NAME FROM SYS.OBJ$;

22). Consulta de las tablas RECYLEBIN$ y OBJ$

  • SQL> SELECT MTIME, NAME, OWNER#, OBJ# FROM SYS.OBJ$ WHERE NAME LIKE ‘BIN$%’;

23). Consultas la Administracion automatica Deshacer ( UNDOTBS01.DBF)

  • SELECT SEGMENT_NAME,HEADER_FILE,HEADER_BLOCK,EXTENTS,BLOCKS FROM DBA_SEGMENTS WHERE SEGMENT_NAME LIKE ‘_SYSSMU%$’;

24). Consulta de los logs del Apache (Oracle Application Server)

25). si falta algo o se crees que se deba corregir algo, escribenos.

fuente: dragonjar.org

oracle y lupa

Oracle ha publicado su parche de actualización crítica para octubre de 2009 para hacer frente a 38 vulnerabilidades (VER vulnerabilidades) en varios productos. Esta actualización contiene las siguientes revisiones de seguridad:

  • 16 de la base de datos Oracle
  • 3 para Oracle Application Server
  • 8 para la Oracle E-Business Suite y aplicaciones
  • 4 de PeopleSoft y JD Edwards Suite
  • 6 para los productos de Oracle BEA Suite
  • 1 para la Industria de los productos de Oracle Applications Suite

Recomendamos a los usuarios y administradores examinar el Oracle Releases Critical Patch Update y aplicar todas las actualizaciones necesarias.

Oracle Releases Critical Patch Update for october 2009


fuente: us-cert.gov

oracle