[HVA News] – Lỗi 0-day 4 năm tuổi của Oracle vẫn chưa được vá


Mã khai thác lỗi 0-day 4 năm tuổi của Oracle Database đặt người dùng vào tình thế rất nguy hại!
Nguồn: http://www.hvaonline.net/hvaonline/posts/list/42263.hva

Ngày 30/04 vừa qua, Oracle đã đưa ra thông báo đặc biệt hướng dẫn các cách khắc phục tạm thời (work-around) về lỗi bảo mật CVE-2012-1675 hay còn gọi là lỗi TNS Listener Poison Attack. Đây là một lỗi bảo mật cực kì nghiêm trọng cho phép các hacker có thể can thiệp từ xa vào luồng dữ liệu trao đổi giữa client và các máy chủ cơ sở dữ liệu Oracle mà không cần đến bất kì một cơ chế xác thực nào.

Trong thông báo này, Oracle chỉ đưa ra các phiên bản bị ảnh hưởng là 10gR2 (10.2.0.x), 11gR1 (11.1.0.x) và 11gR2 (11.2.0.x). Tuy nhiên theo Joxean Koret, người phát hiện ra lỗi bảo mật này thì lỗi này có thể khai thác được với các bản Oracle từ 8i trở đi.

Lỗi CVE-2012-1675 đã được Koret phát hiện ra từ năm 2008 và có thông báo gửi đến hãng Oracle. Trong bản vá bảo mật thường lệ hàng quí vào tháng 4/2012 (CPU-Apr-2012), Oracle đã thông báo lỗi bảo mật này đã được khắc phục cùng lời cảm ơn đến Koret. Ngay sau đó, Koret cũng đã công bố tài liệu về cách thức khai thác lỗi cùng bản PoC của mình trên bugtraq. Tuy nhiên, trong email trao đổi giữa Koret và đại diện của Oracle thì Koret mới “ngã ngửa”: Oracle sẽ chỉ đưa ra bản vá chính thức trong phiên bản chính thức kế tiếp của Oracle database (11gR3 hoặc 12g) vì bản thân Oracle cũng thừa nhận, việc khắc phục lỗi này đòi hỏi phải can thiệp rất sâu vào hệ thống của Oracle điều mà các bản CPU định kì không thể thực hiện được. Như vậy lỗi zero-day sau 4 năm phát hiện vẫn là đang là một lỗi zero-day.

Khuyến cáo từ HVA: các quản trị viên của Oracle database nên có kế hoạch thực hiện sớm nhất có thể việc triển khai các phương án tạm thời theo khuyến cáo của hãng.

Tham khảo:
[1] Oracle Security Alert for CVE-2012-1675
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html 
[2] Oracle Database new zero day exploit put users at risk
http://thehackernews.com/2012/05/oracle-database-new-zero-day-exploit.html

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s