A3AID-0614
A3 Security Consulting Security Alert
Oracle DBMS_EXPORT_EXTENSION SQL INJECTION 취약점
권고문 작성 일: 2006. 05. 15
취약점 발표 날: 2006. 02.
위험 등급: Less Critical (Oracle DBA 권한상승을 통한 SQL INJECTION)
벤더: Oracle
대상 시스템:
해당 취약점에 영향을 받는 목록은 아래와 같다.
(아래와 같은 버전에서 취약점이 보고되었다.)
- Oracle10g Standard Standard Edition 10.2 .3
- Oracle10g Standard Edition 10.2 .2
- Oracle10g Standard Edition 10.2 .1
- Oracle10g Standard Edition 10.1 .4.2
- Oracle10g Standard Edition 10.1 .0.5
- Oracle10g Standard Edition 10.1 .0.4
- Oracle10g Standard Edition 10.1 .0.3.1
- Oracle10g Standard Edition 10.1 .0.3
- Oracle10g Standard Edition 10.1 .0.2
- Oracle10g Standard Edition 9.0.4 .0
- Oracle10g Personal Edition 10.2 .3
- Oracle10g Personal Edition 10.2 .2
- Oracle10g Personal Edition 10.2 .1
- Oracle10g Personal Edition 10.1 .0.4
- Oracle10g Personal Edition 10.1 .0.3.1
- Oracle10g Personal Edition 10.1 .0.3
- Oracle10g Personal Edition 10.1 .0.2
- Oracle10g Personal Edition 9.0.4 .0
- Oracle10g Enterprise Edition 10.2 .3
- Oracle10g Enterprise Edition 10.2 .2
- Oracle10g Enterprise Edition 10.2 .1
- Oracle10g Enterprise Edition 10.1 .0.4
- Oracle10g Enterprise Edition 10.1 .0.3.1
- Oracle10g Enterprise Edition 10.1 .0.3
- Oracle10g Enterprise Edition 10.1 .0.2
- Oracle10g Enterprise Edition 9.0.4 .0
- Oracle10g Application Server 10.1.3 .0.0
- Oracle10g Application Server 10.1.2 .1.0
- Oracle10g Application Server 10.1.2 .0.2
- Oracle10g Application Server 10.1.2 .0.1
- Oracle10g Application Server 10.1.2
- Oracle10g Application Server 10.1 .0.4
- Oracle10g Application Server 10.1 .0.3.1
- Oracle10g Application Server 10.1 .0.3
- Oracle10g Application Server 10.1 .0.2
- Oracle10g Application Server 9.0.4 .2
- Oracle10g Application Server 9.0.4 .1
- Oracle10g Application Server 9.0.4 .0
현재상태: 미패치
(금번 Patch와 관련된 Product List 이외의 De-Supported Product 의 경우에도 보안 취약성에 영향을 받지 않는 것은 아니기 때문에 이러한 보안 취약성을 해결하기 위해서는 Upgrade 후 Patch 적용을 권장)
취약점 개요:
본 취약점은 Oracle에서 사용되는 패키지 중의 하나인 DBMS_EXPORT_EXTENSION에 대한 SQL Injection취약점으로 공격자는 특정 함수를 정의하고 DBMS_EXPORT_EXTENSIO
N 패키지의 GET_DOMAIN_INDEX_TABLES 와 GET_V2_DOMAIN_INDEX_TABLES 함수에서 동작하게 함으로서 DBA권한 상승을 통해SQL Injection을 실행할 수 있다.
취약점 세부분석:
(현재 에이쓰리시큐리티컨설팅에게서 서비스를 받으시는 고객에만 한정적으로 자료 제공)
대응 방안:
Oracle은 이 취약점에 대해 조치 방안을 제공하지 않았다. 2006년 4월 자 Oracle Patch에서도 이 부분에 대한 패치가 없었으며 Oracle사의 Patch적용 전 단기적인 조치 방안으로는 Oracle에서 제공되는 DBMS_EXPORT_EXTENSION 패키지에 대한 접근 제한을 통해 보안 조치 하기를 권고한다.
적용 예) REVOKE EXECUTE ON SYS.DBMS_EXPORT_EXTENSION FROM PUBLIC FORCE;
관련 사이트:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2081
http://lists.grok.org.uk/pipermail/full-disclosure/2006-April/045540.html
http://secunia.com/advisories/19860/
http://www.securityfocus.com/bid/17699/
Copyright (c) 1998-2006 A3 Security Consulting., LTD
Disclaimer
※ 현재 ㈜에이쓰리시큐리티컨설팅에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티컨설팅에서는 일체의 책임을 지지 아니합니다.
