작성자 : 최진욱 선임 컨설턴트

A3AID-0602

A3 Security Consulting Security Alert

Oracle 로그인 접근통제 취약점

권고문 작성 일: 2006. 02. 10

취약점 발표 날: 2006. 01. 18

위험 등급:

벤더: Oracle


대상 시스템:

Oracle Database Version 8.1.7.x.x
Oracle Database Version 9.2.0.7
Oracle Database Version 10.1.0.4.2
Oracle Database Version 10.1.0.5
Oracle Database Version 10.2.0.1.0


취약점 개요:

Oracle에서는 클라이언트와 서버간 통신하는 과정 중 SQLPlus를 통해 DBMS(서버) 접속 시 인증 단계에서 SYS 권한으로 실행되는 유효한 SQL 구문이 포함되어 있다. 이러한 유효한 SQL 구문은 공격자에 의해 임의의 공격 SQL 구문으로 교체 조작됨으로써 서버에서 일반계정의 Oracle 유저가 SYS 권한으로 공격SQL 구문이 실행할 수 있는 취약점이 발표 되었다.

취약점 세부분석:

(현재 에이쓰리시큐리티컨설팅에게서 서비스를 받으시는 고객에만 한정적으로 자료 제공)


위험 분석:


위 취약점은 실제 로컬 네트워크에서 일반사용자의 권한이 있다는 가정하에 취약점이 될 수 있다. 하지만 대부분의 DBMS(서버)에서 Default 사용자가 Enable 되어 있으므로 로컬 네트워크에서 권한이 없는 임의의 사용자가 공격을 통해 DBA 권한을 가질 수 있다.
또한 직접적으로 공격을 수행할 수는 없지만 취약한 로컬네트워크의 한 서버가 외부에서 뚫렸을 경우 외부에서 직접적으로 공격 하는 것과 같은 위험성을 내포하고 있다.

대응 방안:


Oracle은 이 취약점에 대해 조치 방안을 제공하지 않았다. 시스템 관리자들은 벤더에서 제공한 Patch를 즉시 적용할 것을 권고한다.(벤더와 상의 후 보안 Patch 적용

https://metalink.oracle.com/metalink/plsql/f?p=130:14:9408918956906252448::::p14_database_id,p14_docid,p14_
show_header,p14_show_help,p14_black_frame,p14_
font:NOT,343382.1,1,0,1,helvetica


관련 사이트:

http://www.oracle.com/technology/deploy/security/pdf/cpujan2006.html
http://www.oracle.com/technology/deploy/security/pdf/public_vuln_to_advisory_mapping.html
http://www.oracle.com/technology/deploy/security/pdf/public_vuln_to_advisory_mapping.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0265
http://secunia.com/advisories/18493


 
Copyright (c) 1998-2006 A3 Security Consulting., LTD


Disclaimer

※ 현재 ㈜에이쓰리시큐리티컨설팅에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티컨설팅에서는 일체의 책임을 지지 아니합니다.