red-database-security gmbh公司的一位安全研究人員alexander kornbrust稱,在他公開這些安全漏洞的細節之前,他曾試圖公平地與甲骨文打交道。但是,650多天(663天至718天之間)的等待應該足夠了,特別是對於一家大公司來說。他補充說,他在三個月前還曾通知甲骨文說,如果甲骨文在7月份的安全補丁中不修復這些安全漏洞,他將公開宣布這些安全漏洞。kornbrust還向甲骨文提供了額外的時間修復這些安全漏洞,如果甲骨文需要延長時間的話。但是,甲骨文從來沒有要求額外的時間。
kornbrust的情況並不是孤立的。業內普遍都知道,包括ngssoftware軟體公司的david litchfield在內的許多安全人員都曾向甲骨文報告過安全問題,而甲骨文一直都沒有解決。許多報告的安全問題都有一年多時間了。
有些人認為,甲骨文和red-database-security公司之間存在溝通問題。kornbrust說,存在溝通問題是可能的。但是,為什麼david litchfield報告的13高危等級的安全漏洞和4箇中等的安全漏洞在將近一年的時間裡都沒有修復呢?甲骨文下一次發布安全補丁的時間是在2005年10月份,那些漏洞的報告時間超過一年了。我聽說idefense和appsecinc等公司也對緩慢的安全漏洞處理過程提出了同樣的抱怨。
kornbrust表示,最嚴重的一個安全漏洞能夠通過“oracle reports”中的“desname”程式覆蓋任何檔案。這個安全漏洞影響oracle reports6.0、6i、9i和10g版本。oracle reports是甲骨文套用伺服器軟體中的一個組件,用於電子商務套裝軟體中,大多數大型企業都使用這個軟體作為企業套用的報告工具。他說,通過修改一個url,黑客能夠摧毀在網路上的甲骨文套用伺服器。通過“google hacking”可以查找到安全漏洞報告伺服器。黑客在幾分鐘之內就可以摧毀幾台套用伺服器。他還指出,兩個允許作業系統執行命令的安全漏洞也特別嚴重。“oracle forms services”中存在一個高危等級的安全漏洞。這個軟體是甲骨文套用伺服器軟體的一個組件,用於甲骨文電子商務套裝軟體和許多企業應用程式中。kornbrust說,這個安全漏洞能夠讓作業系統執行命令。
這個安全漏洞影響甲骨文oracle (web) forms 4.5、5.0、6.0、6i、9i和10g版。
“oracle forms services”可以從任何目錄和任何在套用伺服器中的用戶那裡啟動可執行的表格(*.fmx)檔案。kornbrust在安全公告中稱,這些表格可以作為甲骨文用戶和系統(windows)用戶執行。攻擊者向套用伺服器上載一個精心製作的可執行表格檔案就可以執行任何作業系統命令並且接管套用伺服器的控制權。檔案上載可通過webdav、smb、webutil、samba、nfs和ftp等多種途徑。通過使用這種表格或者具有絕對路徑的模組參數,攻擊者就可以從任何目錄和任何用戶那裡執行那些可執行的表格檔案。
還有一個高風險安全漏洞能夠讓攻擊者通過未經授權的“oracle reports”軟體運行任何作業系統命令。這個安全漏洞影響oracle reports 6.0、6i、9i和10g版。
這個安全公告稱:“oracle reports”能夠從套用伺服器中的任何目錄和任何用戶那裡啟動可執行的報告檔案(*.rep 或者 *.rdf檔案)。這些報告可作為甲骨文用戶或者系統(windows)用戶執行。攻擊者向套用伺服器上載精心製作的報告檔案就可以執行任何系統命令或者讀、寫套用伺服器中的檔案(如包含甲骨文口令的wdbsvr.app檔案)。通過使用這種具有絕對路徑的報告參數,攻擊者就可以從任何目錄和任何用戶那裡執行那些可執行的報告檔案。
其它安全漏洞不太嚴重,包括兩個中等風險的信息暴露安全漏洞,一個“desformat”安全漏洞,和另一個在個性化參數中的漏洞。其餘的低風險的交叉站點腳本影響“oracle reports”軟體。
korbrust建議說,用戶應該認真閱讀這些安全公告,設法理解這些問題並且首先在自己的測試系統中採取繞過這些漏洞的措施。如果通過測試,他們應該在生產系統中採取這些繞過漏洞的措施。
kornbrust做結論說,用戶應該質問甲骨文,為什麼它要用這樣長的時間修復這些安全漏洞。是甲骨文的安全團隊太小不能處理所有這些問題嗎?