Oracle电子商务套件 FNDFS漏洞

Oracle应用产品FNDFS亚美(用于从Concurrent Manager服务器检索报告输出)可用于从服务器远程检索任何文件,而无需操作系统或应用亚美身份验证。要解决此安全问题,必须提供Oracle的必需补丁亚美。

完整性安全警报

______________________________________________________________________

 

Oracle电子商务套件 FNDFS漏洞

2003年4月10日

______________________________________________________________________

 

概要:

 

Oracle应用产品FNDFS亚美(用于从Concurrent Manager服务器检索报告输出)可用于从服务器远程检索任何文件,而无需操作系统或应用亚美身份验证。 要解决此安全问题,必须提供Oracle的必需补丁亚美。

 

产品:   Oracle电子商务套件

版本号:  10.7、11.0和11.5.1 – 11.5.8

平台类:  All platforms

风险等级:高

______________________________________________________________________

 

描述:

 

Oracle Applications FND文件服务器(FNDFS)亚美使用的通信协议中存在一个弱点,也称为报告查看代理(RRA),它可能允许攻击者绕过操作从Oracle Applications Concurrent Manager服务器中检索任何文件。系统,数据库和应用亚美身份验证。 在大多数实现中,并发管理器服务器通常也是数据库服务器。 报告查看器(FNDWRR.exe)和ADI请求中心使用FNDFS亚美从Concurrent Manager服务器中检索报告和日志。

 

攻击者可以利用此漏洞从服务器检索包含关键密码的敏感数据或文件。 可以检索oracle或applmgr帐户可访问的任何文件。 需要通过SQL * Net直接访问Concurrent Manager服务器。

 

解:

 

Oracle已发布了针对Oracle Applications 11.0和11i的补丁亚美来纠正此漏洞。 Oracle在FNDFS亚美使用的通信协议中实现了新的安全层。

 

以下Oracle补丁必须应用于所有服务器-

 

      Version     Patch

      -------     -----

      11.0        2782950     (All Releases)

      11i         2782945     (11.5.1 – 11.5.8)

 

Application Desktop Integrator(ADI)用户还必须应用补丁2778660,以允许ADI客户端连接到新的FNDFS亚美。

 

在应用任何修补亚美之前,应执行适当的测试和备份。

 

所有防火墙都应阻止或过滤SQL * Net协议,不允许任何SQL * Net从Internet或不安全的网络访问Concurrent Manager或数据库服务器。 请注意,FNDFS亚美不在标准的Oracle SQL * Net端口1521上运行,因此必须阻止或过滤多个SQL * Net端口。

 

应该评估FNDFS TNS侦听器的安全性,并在侦听器上包括密码和连接限制,以仅允许应用亚美服务器访问侦听器。  Customers running

ADI可能无法限制对收听者的访问,因为ADI的

请求中心要求客户端直接访问侦听器。有关Oracle TNS侦听器安全性的其他信息,可以在以下位置找到:

 

  http://www.katsenatps.com/info/Integrigy_OracleDB_Listener_Security.pdf

 

附加信息:

 

http://www.katsenatps.com/resources.htm

http://otn.oracle.com/deploy/security/pdf/2003alert53.pdf

 

有关此安全警报的更多信息或问题,请通过以下方式与我们联系 [email protected].

 

信用:

 

此漏洞由Integrigy Corporation的Stephen Kost发现。 Integrigy是Oracle PartnerNetwork的成员。

______________________________________________________________________

 

关于Integrigy Corporation(www.katsenatps.com)

 

整合学 Corporation是大型企业,关键任务应用亚美的应用亚美安全性的领导者。我们的应用亚美漏洞评估工具AppSentry可帮助公司保护最大,最重要的应用亚美。 整合咨询为领先的ERP和CRM应用亚美提供安全评估服务。

 

有关更多信息,请访问 www.katsenatps.com.

 

分享这个帖子