Kritische Lücken und Sicherheitsupdates für Oracle

13. Januar 2010

Wegen der Dringlichkeit, dem weit verbreiteten Einsatz von Oracle in Unternehmen und der grossen Zahl an potentiell ausnützbaren Sicherheitslücken bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Diverse Oracle Produkte sind derzeit, laut Angaben des Herstellers, für verschiedene Angriffe anfällig. In dem Critical Patch Update für Jänner 2010 listet Oracle 24 dieser Sicherheitslücken auf und empfiehlt ein Update. Hierbei verteilen sich die Sicherheitslücken auf :
  • 10 Oracle Database
  • 3 Oracle Application Server
  • 3 Oracle Applications Suite
  • 1 PeopleSoft und JD Edwards Suite
  • 5 BEA Products Suite
  • 2 Oracle Primavera Products Suite

Auswirkungen

Da der Angreifer unter anderem via Oracle Net und der Listener Komponente prinzipiell direkt beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, die Inhalte der Datenbank sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Viele der Sicherheitslücken erlauben aber auch - als authentifizierter Benutzer - über das Netzwerk, beliebigen Schadcode auszuführen. Es ist also denkbar, dass ein Angriff genauso über einen authentifizierten (Webfrontend-) Benutzer erfolgen kann.

Betroffene Systeme

  • Oracle Database 11g, Version 11.1.0.7
  • Oracle Database 10g Release 2, Versionen 10.2.0.3, 10.2.0.4
  • Oracle Database 10g, Version 10.1.0.5
  • Oracle Database 9i Release 2, Versionen 9.2.0.8, 9.2.0.8DV
  • Oracle Application Server 10g Release 3 (10.1.3), Versionen 10.1.3.4.0, 10.1.3.5, 10.1.3.5.1
  • Oracle Application Server 10g Release 2 (10.1.2), Version 10.1.2.3.0
  • Oracle Access Manager Versionen 7.0.4.3, 10.1.4.2
  • Oracle E-Business Suite Release 12, Versionen 12.0.4, 12.0.5, 12.0.6, 12.1.1 und 12.1.2
  • Oracle E-Business Suite Release 11i, Version 11.5.10.2
  • PeopleSoft Enterprise HCM (TAM), Versionen 8.9 und 9.0
  • Oracle WebLogic Server 10.0 bis MP2, 10.3.0 und 10.3.1
  • Oracle WebLogic Server 9.0 GA, 9.1 GA und 9.2 bis 9.2 MP3
  • Oracle WebLogic Server 8.1 bis 8.1 SP6
  • Oracle WebLogic Server 7.0 bis 7.0 SP7
  • Oracle JRockit R27.6.5 und frühere (JDK/JRE 6, 5, 1.4.2)
  • Primavera P6 Enterprise Project Portfolio Management 6.1, 6.2.1 und 7.0
  • Primavera P6 Web Services 6.2.1, 7.0 und 7.0SP1

Abhilfe

Oracle stellt eine genaue Beschreibung und Updates zur Verfügung. Evtentuell müssen ältere kritische Updates vorher eingespielt werden. Details sind der Oracle Seite zu entnehmen.

CERT.at empfiehlt Administratoren, obige Beschreibung genau anzusehen und entsprechende Updates nach Massgabe der Möglichkeiten und sobald als möglich einzuspielen. Auf jeden Fall sollten Administratoren ihre Firewall Regeln genau überprüfen, sodass Oracle Net und Oracle nur von autorisierten und sicheren Rechnern über das Netzwerk erreichbar sind.

Hinweis

Generell empfiehlt CERT.at, womöglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

US-CERT Warnung
http://www.us-cert.gov/current/index.html#oracle_releases_critical_patch_update9
Oracle
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2010.html