CVE-2019-2638,CVE-2019-2633,Oracle发薪日漏洞-AppDefend保护

最近已发布了两个于2019年4月修复的Oracle电子商务套件安全漏洞(CVE-2019-2638,CVE-2019-2633)。这些漏洞使攻击者可以在Oracle电子商务套件数据中执行任意SQL语句,从而导致对环境的完全破坏,包括欺诈性交易,银行帐户的更改以及对应用程序安全控制的规避。 整合学的AppDefend是Oracle电子商务套件的应用程序防火墙, 唯一提供虚拟补丁程序并主动防御这些漏洞的解决方案.

这两个漏洞位于Oracle电子商务套件(EBS)TCF服务器中,该服务器为专业的Forms界面提供了一组有限的Forms服务。在所有版本的Oracle电子商务套件(包括11i,12.0、12.1和12.2)中都实现并启用了TCF Server。如果不对Oracle EBS进行自定义,则无法禁用它。

TCF服务器是作为标准Oracle EBS Web应用程序服务器的一部分运行的servlet,并且在Forms Java客户端和Web应用程序服务器之间使用HTTP或HTTPS进行通信。对于R12,可以从URL / OA_HTML / AppsTCFServer获得该servlet。它使用专有的应用程序级协议在Forms客户端和服务器之间进行通信。

风险在于,与大多数Oracle EBS SQL注入漏洞不同,这些漏洞仅允许将SQL语句的片段附加到正在执行的标准Oracle EBS SQL语句中,而这些安全漏洞允许以Oracle EBS APPS数据库帐户的身份执行完整的SQL语句。在评估环境中这些漏洞的风险时,区分使用iSupplier,iStore和iRecruitment之类的模块时通过Internet对Oracle EBS环境的外部访问与仅来自内部网络的内部访问之间的区别非常重要。外部访问的风险至关重要,应立即解决。内部风险仍然很高,并且取决于内部网络的安全状况。重要的是要认识到,不了解Oracle EBS的Web应用程序防火墙,数据库安全工具和其他网络安全产品不会为成功利用这些漏洞提供任何保护。

整合学 AppDefend是唯一为这些TCF Server漏洞以及其他Oracle EBS安全漏洞提供虚拟补丁程序和主动防御的解决方案。 整合学意识到TCF Server的潜在问题,甚至在2007年的R12的第一个AppDefend版本中,默认情况下也阻止了对TCF Server的外部访问。

AppDefend提供了针对TCF Server漏洞的多层保护,如下所示-

  1. 从2007年开始,从外部阻止对TCF Server的所有访问。
  2. 对TCF服务器实施Oracle EBS访问控制,仅允许授权的EBS用户访问TCF服务器(自2018年起)。
  3. 将可通过TCF Server访问的功能列入白名单(自2018年起)。
  4. 阻止TCF Server中的特定漏洞(2018,2019)。
  5. 专为Oracle EBS优化的高级SQL注入保护将检测并阻止TCF Server和其他0天攻击中使用的大多数SQL语句。 (自2007年起)。

如果您没有AppDefend,则为Oracle EBS应用最新的Oracle重要补丁更新将纠正这些特定漏洞,对于外部站点,按照My Oracle Support说明ID 380490.1附录E中的说明实施Oracle EBS URL防火墙至关重要。但是,这些解决方案在应用安全补丁之前或将来的TCF Server漏洞和其他Oracle EBS 0天攻击中不会保护您。

如果您对最新的Oracle EBS安全漏洞有任何疑问,请与我们联系: [email protected].

 Share this post