English

◀◁ 뒤로 취약점ID 22185 위험도 40 포트 7777 프로토콜 TCP 분류 WWW 상세설명 해당 Oracle9i 어플리케이션 서버 PL/SQL 게이트웨이 웹 관리 인터페이스는 디폴트 설정인 인증없는 액세스가 가능하다. Oracle iAS는 웹 서비스를 제공하기 위해 Apache HTTP 서버를 사용한다. 또한 Oracle PL/SQL 모듈 (modpplsql 혹은 mod_plsql)을 통해 Stored Procedure들에 대한 액세스를 제공하기도 한다. iAS에 있는 PL/SQL은 데이터베이스와 통신하여 웹 브라우저에 의해 해석될 수 있는 HTML을 생성해 주는 데에 사용된다. PL/SQL 모듈은 DAD(Database Access Descriptors)와 캐쉬 세팅을 설정하기 위한 웹 기반의 관리 인터페이스를 제공한다. DAD는 PL/SQL 요청이 어플리케이션에 연결하는 방법에 관한 정보를 가지고 있으며 신용정보나 다른 인증 정보를 정의할 수 있다. 디폴트로 이 관리 페이지들에 대한 액세스는 인증을 필요로 하지 않는다. 결과적으로 이 페이지를 액세스할 수 있는 공격자는 여기에 있는 관리용 함수들을 실행할 수 있다. DAD 설정을 수정할 수 있는 능력은 공격자가 PL/SQL 어플리케이션들을 액세스, 또는 수정할 수 있게 해 주거나, 혹은 합법적인 사용자들에 대해 서비스를 거부하게 할 수 있다. 또한, PL/SQL 게이트웨이 관리 웹 인터페이스에 대한 액세스는 두가지 버퍼 오버플로우 취약점들에 노출되어 있다: DAD 패스워드 필드에 하나가 있으며 캐쉬 디렉토리 명에 하나가 있다. * 참고 사이트: http://www.kb.cert.org/vuls/id/611776 http://www.kb.cert.org/vuls/id/659043 http://www.kb.cert.org/vuls/id/923395 http://www.cert.org/advisories/CA-2002-08.html http://marc.theaimsgroup.com/?l=bugtraq&m=101301813117562&w=2 * 영향을 받는 플랫폼: Oracle9i Application Server Any version 해결책 1. 액세스 제한 PL/SQL 게이트웨이 관리 웹 페이지들에 대한 액세스는 인증된 사용자명들과 접속 문자열 혹은 PL/SQL 게이트웨이 설정파일, /Apache/modplsql/cfg/wdbsvr.app에 관리용 DAD (Database Access Descriptor)를 명기함으로써 제한될 수 있다. 보다 많은 정보에 대해서는 Oracle iAS 문서에 있는 "Using the PL/SQL Gateway" 아래의 "Protecting the Administration pages" 라는 제목의 섹션을 읽어보면 된다. 2. 관리용 인터페이스에 대한 경로 변경 관리 웹 페이지들에 대한 경로명은 PL/SQL 게이트웨이 설정파일, /Apache/modplsql/cfg/wdbsvr.app에서 설정할 수 있다. 경로를 변경함으로써 공격자가 쉽게 관리 웹 페이지들을 액세스하지 못하게 할 수 있다. 관리 웹 페이지들을 보호하기 위해서는 위의 "액세스 제한"에 소개되어 있듯이 PL/SQL 게이트웨이가 인증을 요구하도록 만들어야 한다. 3. 취약한 서비스의 가동중지 PL/SQL 서비스(Apache에 있는 modplsql 혹은 mod_plsql)를 가동중지 시킨다. 관련 URL CVE-2002-0561 (CVE) 관련 URL 4292 (SecurityFocus) 관련 URL 8452 (ISS)