Oracle E-Business Suite FNDFS漏洞

Oracle应用程序FNDFS程序用于从Concurrent Manager服务器检索报告输出,可用于远程从服务器中检索任何文件,而无需操作系统或应用程序身份验证。来自Oracle的强制补丁是解决此安全问题所必需的。

积分安全警报

______________________________________________________________________

 

Oracle E-Business Suite FNDFS漏洞

2003年4月10日

______________________________________________________________________

 

概括:

 

Oracle应用程序FNDFS程序用于从Concurrent Manager服务器检索报告输出,可用于远程从服务器中检索任何文件,而无需操作系统或应用程序身份验证。 来自Oracle的强制补丁是解决此安全问题所必需的。

 

产品:   Oracle E-Business Suite

版本:  10.7,11.0和11.5.1 - 11.5.8

平台:  All platforms

风险水平: 高的

______________________________________________________________________

 

描述:

 

Oracle应用程序FND文件服务器(FNDFS)程序使用的通信协议中存在弱点,也称为报表查看代理(RRA),这可能允许攻击者从Oracle应用程序中检索任何文件并发管理器服务器绕过操作系统,数据库和应用程序身份验证。 Concurrent Manager Server通常也是大多数实现中的数据库服务器。 报表查看器(FNDWRR.EXE)和ADI请求中心使用FNDFS程序来从并发管理器服务器检索报告和日志。

 

攻击者可以利用此漏洞来检索从服务器中包含严重密码的敏感数据或文件。 可以检索Oracle或Applmgr帐户可访问的任何文件。 需要通过SQL * NET直接访问并发管理器服务器。

 

解决方案:

 

Oracle已发布Oracle Applications 11.0和11i的修补程序,以纠正此漏洞。 Oracle在FNDFS程序使用的通信协议中实现了新的安全层。

 

必须将以下Oracle修补程序应用于所有服务器 -

 

      Version     Patch

      -------     -----

      11.0        2782950     (All Releases)

      11i         2782945     (11.5.1 – 11.5.8)

 

Application Desktop Integrator(ADI)用户还必须应用补丁2778660允许ADI客户端连接到新的FNDFS程序。

 

应在应用任何补丁之前执行适当的测试和备份。

 

所有防火墙都应阻止或过滤SQL * NET协议,而不允许使用Internet或无担保网络的并发管理器或数据库服务器的任何SQL *净访问。 请注意,FNDFS程序不会在标准Oracle SQL * Net端口1521上运行,因此必须阻止或过滤多个SQL * Net端口。

 

应评估FNDFS TNS侦听器的安全性,并在侦听器和连接限制上包含密码,仅允许应用程序服务器访问侦听器。  Customers running

自adi's以来,ADI可能无法限制对听众的访问权限

请求中心需要直接访问客户端的侦听器。有关Oracle TNS侦听器的安全信息的其他信息可以找到:

 

  http://www.katsenatps.com/info/Integrigy_OracleDB_Listener_Security.pdf

 

附加信息:

 

http://www.katsenatps.com/resources.htm

http://otn.oracle.com/deploy/security/pdf/2003alert53.pdf

 

有关此安全警报的更多信息或问题,请联系我们 警报器@integrigy.com..

 

信用:

 

斯蒂芬·科斯特公司斯蒂芬·克朗特发现了这种漏洞。 积分是Oracle Partnernetwork的成员。

______________________________________________________________________

 

关于积分公司(www.katsenatps.com.)

 

Integigy Corporation是大型企业,关键任务应用程序的应用安全的领导者。我们的应用程序漏洞评估工具Appsentry协助公司确保其最大和最重要的应用程序。 Integy Consulting为领先的ERP和CRM应用提供安全评估服务。

 

有关更多信息,请访问 www.katsenatps.com..

 

分享这个帖子