Se ha descubierto un grave compromiso de seguridad en la base de datos ORACLE, que permite a cualquier usuario local el crear archivos arbitrarios como administrador o «root».
El problema se localiza en el programa «dbsnmp», SUID como «root». Al ejecutar este programa sin la variable de entorno «ORACLE_HOME» activa, se vuelcan 400 bytes de información sobre los ficheros «dbsnmpc» y «dbsnmpt», en el directorio actual desde el que se invoca al programa. Dichos ficheros son creados con permisos 666 (lectura y modificación para todo el mundo). Si los ficheros ya existen, se añaden esos 400 bytes al final de los mismos, sin realizar ninguna comprobación y sin modificar los permisos existentes.
Este error permite, por ejemplo, crear archivos en cualquier lugar del sistema con privilegios de administrador, usando enlaces simbólicos. También es posible escribir en esos archivos (tienen privilegios de escritura para todo el mundo) y llenar una partición de disco sin que se pueda localizar al usuario hostil.
Mientras se investigaba esta vulnerabilidad en diferentes sistemas, se encontr¢ que la versi¢n Oracle 8.0.5 para Linux no tiene el programa «dbsnmp» pero, en cambio, incluye otro llamado «tnslsnr» que crea un fichero «listener.log», con las mismas propiedades.
Tambi’n se ha descubierto que el fichero «$ORACLE_HOME/network/agent/config/nmiconf.tcl», que se lee al ejecutar el «dbsnmp», puede ser modificado por cualquier usuario del sistema.
Versiones vulnerables:
No se dispone de una lista exhaustiva de versiones vulnerables (o inmunes) a este ataque. Tan solo se pueden mostrar algunas referencias
* Vulnerables
Oracle 8.1.5
Oracle 8.0.5
Oracle 8.0.5.1
Oracle 8.0.4
Oracle 8.0.3
Oracle 7.3.4
Oracle 7.3.3
* Aparentemente No Vulnerables
Oracle 8.0.6
Oracle 8.1.6
M s informaci¢n:
Oracle Intelligent Agent Vulnerability
http://www.securityfocus.com/bid/585
ISS Security Advisory August 23, Additional Root Compromise Vulnerabilities in Oracle 8
http://www.securityfocus.com/templates/advisory.html?id=1692
Mensaje original
http://www.securityfocus.com/templates/archive.pikelist=1&msg=19990817092232.B7591@securityfocus.com
Oracle ha publicado un parche disponible en:
Oracle Intelligent Agent
http://technet.oracle.com/misc/agent/section.htm
Oracle Intelligent Agent Security Issue
http://technet.oracle.com/misc/agent/faq.htm
Parece que el parche se limita a no seguir enlaces simb¢licos. Para la versi¢n 8.1.5 no hay parche; hay que instalar la versi¢n 8.0.5, parchearla, y esperar a que se publique la versi¢n 8.1.6.
No parece haber parche para las versiones previas.
Jesos Cea Avi¢n
jcea@hispasec.com
