Suchen

Vier Jahre alte Zero-Day-Schwachstelle bleibt ungepatcht Oracle-Datenbanken anfällig für Code-Injektion

Redakteur: Stephan Augsten

Vier Jahre lang stand eine Sicherheitslücke im TNS Listener der Datenbank-Management-Systeme von Oracle offen. Der Software-Hersteller will allerdings kein Sicherheitsupdate für die Zero-Day-Schwachstelle veröffentlichen, sondern empfiehlt einen Workaround.

Firma zum Thema

In offene Verbindugnen mit Oracle-Datenbanken lässt sich Code injizieren.
In offene Verbindugnen mit Oracle-Datenbanken lässt sich Code injizieren.

Im Jahr 2008 hatte der spanische Sicherheitsforscher Joxean Koret eine Schwachstelle im Transparent Network Substrate (TNS) Listener an Oracle gemeldet. Nun hatte er fälschlicherweise angenommen, Oracle habe ein kritisches Patch-Update (Critical Patch Update, CPU) veröffentlicht – und infolge dessen die Details zur Sicherheitsanfälligkeit veröffentlicht.

Die Lage wird dadurch verschärft, dass Koret auch gleich einen Proof-of-Concept-Code als Machbarkeitsbeweis für eine „TNS Listener Poison Attack“ mitlieferte. Damit ist es einem Angreifer prinzipiell möglich, diverse Aktionen ohne Autorisierung auf einem Datenbank-Server ausführen kann.

Beim TNS Listener handelt es sich um eine Komponente, die für das Routing von Verbindungen zwischen Datenbank-Server und Clients verantwortlich ist. Klinkt sich der Angreifer nun mit einer Man-in-the-Middle-Technik in eine bestehende Verbindung ein, ist es ihm möglich, angefragte Daten abzufangen. Außerdem kann er einfache Kommandos an den Server absetzen, damit dieser Datensätze hinzufügt, löscht oder modifiziert.

„Um Kommandos zu injizieren muss man nur darauf warten, das der Anwender einen SQL-Befehl oder eine Datenbank-Abfrage absetzt“, schreibt Koret in seinem Blog und in einer entsprechenden Full Disclosure Mailing List. Die Inhalte des jeweiligen Befehls ließen sich dann einfach austauschen.

Die Schwachstelle findet sich in den Versionen 10.2.0.3 bis 11.2.0.3 der Oracle-Datenbanken. Im Security Bulletin CVE-2012-1675 warnt der Hersteller außerdem davor, dass die anfällige Datenbank-Komponente auch in der Oracle Fusion Middleware, im Enterprise Manager und in der E-Business Suite enthalten sind.

Kein Patch seitens Oracle geplant

Oracle wird den Fehler offensichtlich nicht patchen und begründet dies damit, dass „ein solcher Backport aufgrund der zu ändernden Code-Menge und möglicher Folgeprobleme äußerst schwierig bis unmöglich ist.“ Stattdessen empfiehlt Oracle betroffenen Kunden einen Workaround.

Kunden mit einer Single-Node-Konfiguration sind dazu angehalten, Zugriffe mithilfe der COST-Funktion (Class Of Secure Transport) im Listener einzuschränken. Wie das funktioniert, beschreibt der Eintrag 1453883.1 „Using Class of Secure Transport (COST) to Restrict Instance Registration” im My Oracle Support. RAC- und Exadata-Kunden können ähnliche Restriktionen gemäß Eintrag 1340831.1 „Using Class of Secure Transport (COST) to Restrict Instance Registration in Oracle RAC“ vornehmen.

(ID:33485500)