ThaiCERT : Advisories & Alerts : CERT : CA-2006-24

Home >> Advisories & Alerts << Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

Advisories & Alerts
CERT Advisory
Alert

CERT Advisory CA-2006-24 (Technical Cyber Security Alert TA06-200A)
Oracle Products Contain Multiple Vulnerabilities
ต้นฉบับ : http://www.us-cert.gov/cas/techalerts/TA06-200A.html
เรียบเรียงโดย : พุธ นาฑีสุวรรณ

ระบบที่ได้รับผลกระทบ

Oracle10g Database
Oracle9i Database
Oracle8i Database
Oracle Enterprise Manager 10g Grid Control
Oracle Application Server 10g
Oracle Collaboration Suite 10g
Oracle9i Collaboration Suite
Oracle E-Business Suite Release 11i
Oracle E-Business Suite Release 11.0
Oracle Pharmaceutical Applications
JD Edwards EnterpriseOne, OneWorld Tools
Oracle PeopleSoft Enterprise Portal Solutions

สำหรับข้อมูลเพิ่มเติมที่เกี่ยวข้องกับเวอร์ชันของผลิตภัณฑ์ที่ได้รับผลกระทบ ท่านสามารถติดตามได้จาก Oracle Critical Patch Update ประจำเดือนกรกฎาคม 2549

กล่าวโดยทั่วไป

ผลิตภัณฑ์ของ Oracle และคอมโพเน้นท์ได้รับผลกระทบจากช่องโหว่หรือจุดอ่อน (vulnerabilities) หลายช่องโหว่ ผลกระทบของช่องโหว่เหล่านี้ประกอบด้วย การทำให้ผู้บุกรุกสามารถสั่งรันโปรแกรมได้จากระยะไกล, ข้อมูลบนระบบถูกเปิดเผย และการทำให้ระบบไม่สามารถให้บริการได้

I. คำอธิบาย

Oracle ประกาศ Critical Patch Update ประจำเดือนกรกฎาคม 2549 เพื่อแก้ไขช่องโหว่ที่ส่งผลกระทบต่อหลายผลิตภัณฑ์ รวมถึงคอมโพเน้นท์ของ Oracle ด้วย

Critical Patch Update อธิบายถึงคอมโพเน้นท์ที่ได้รับผลกระทบ การเข้าถึงและการให้สิทธิที่จำเป็นและผลกระทบของช่องโหว่ที่มีต่อการรักษาความลับของข้อมูล (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้ (Availability) ผู้ที่เป็นสมาชิกของ Metalink สามารถอ่านข้อมูลเพิ่มเติมของคำเฉพาะที่เกี่ยวข้องซึ่งถูกใช้ในเอกสารนี้จาก MetaLink หมายเลข 293956.1 (ต้องการการล็อกอินเพื่อเข้าดู)

ช่องโหว่ในเอกสารที่นำเสนอนี้ จำนวน 4 ช่องโหว่ที่พบสามารถแก้ไขได้ตามประกาศ Critical Patch Update ประจำเดือนกรกฎาคม 2549 ซึ่งส่งผลโดยตรงกับผลิตภัณฑ์ Oracle ที่ติดตั้งใช้งานเฉพาะฝั่ง Client (ไม่มีการใช้งาน Oracle Database Server)

สำหรับช่องโหว่ของฐานข้อมูล Oracle (Oracle Database Vulnerability) ถูกกำหนดไว้ที่หมายเลข Oracle Vuln# DB06 ภายในประกาศ Critical Patch Update ซึ่งรายละเอียดของช่องโหว่จะแสดงเช่นเดียวกับเอกสารบันทึกช่องโหว่ของ US-CERT (US-CERT Vulnerability Note) หมายเลข VU#932124 แต่จะแสดงรายละเอียดเพิ่มเติมไว้ด้วย เช่น วิธีแก้ไขช่องโหว่ เป็นต้น

ในหลายๆ กรณีทาง Oracle ไม่ได้เชื่อมโยงตัวเลขระบุช่องโหว่เข้ากับข้อมูลอื่นๆ หากมีรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่และวิธีการแก้ไข จะมีการอัพเดตช่องโหว่นั้นที่ช่องโหว่

ส่วนใหญ่แล้ว oracle ไม่ได้ระบุหมายเลขช่องโหว่ให้สอดคล้องกับข้อมูลที่มีอยู่ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่และวิธีการแก้ไขจะมีการรายงานไว้ในบันทึกช่องโหว่ (Vulnerability notes) ต่อไป

II. ผลกระทบ

ผลกระทบของช่องโหว่เหล่านี้ขึ้นกับผลิตภัณฑ์ คอมโพเน้นท์ และคอนฟิกูเรชันของระบบที่ใช้งานอยู่ ผลกระทบต่อเนื่องที่เป็นไปได้ ได้แก่ การสั่งรันโปรแกรมหรือคำสั่งจากระยะไกล การเปิดเผยข้อมูล รวมทั้งการทำให้ระบบไม่สามารถให้บริการได้ คอมโพเน้นท์ที่มีช่องโหว่อาจมีความเสี่ยงต่อการถูกบุกรุกโดยผู้บุกรุกจากระยะไกลซึ่งผู้บุกรุกที่ครอบครองฐานข้อมูลของ Oracle อาจได้สิทธิการเข้าถึงข้อมูลที่สำคัญด้วย

III วิธีแก้ไข

ติดตั้งโปรแกรมอุดช่องโหว่

ติดตั้งโปรแกรมอุดช่องโหว่ตามข้อมูลในเอกสาร Critical Patch Update ฉบับประจำเดือนเมษายน 2549 แต่รายการโปรแกรมอุดช่องโหว่นี้เป็นของช่องโหว่ใหม่ซึ่งยังไม่รวมรายการโปรแกรมอุดช่องโหว่ก่อนหน้านี้ ดังนั้นจึงต้องติดตั้งโปรแกรมอุดช่องโหว่ก่อนหน้านี้ด้วย

ดังที่กล่าวไว้ว่าโปรแกรมอุดช่องโหว่บางโปรแกรมเป็นลักษณะรวมทุกๆ โปรแกรมอุดช่องโหว่ก่อนหน้าแล้ว (cumulative) แต่บางโปรแกรมยังไม่รวม :

โปรแกรมอุดช่องโหว่ที่เป็นแบบ cumulative ได้แก่ The Oracle Database, Oracle Application Server, Oracle Enterprise Manager Grid Control, Oracle Collaboration Suite, JD Edwards EnterpriseOne and OneWorld Tools, และ PeopleSoft Enterprise Portal Applications patches in the Updates ซึ่งโปรแกรมอุดช่องโหว่จะเป็นลักษณะรวมทุกๆ โปรแกรมอุดช่องโหว่ก่อนหน้าไว้แล้ว

โปรแกรมอุดช่องโหว่สำหรับ Oracle E-Business Suite และ Applications patches ไม่เป็นแบบ cumulative ดังนั้นการติดตั้งโปรแกรมอุดช่องโหว่สำหรับ Oracle E-Business Suite and Applications จะต้องอ้างถึงการติดตั้งโปรแกรมอุดช่องโหว่ก่อนหน้านี้เพื่อทำการติดตั้งให้ครบ

โปรแกรมอุดช่องโหว่สำหรับบางแพลตฟอร์มและคอมโพเน้นท์ไม่มีใน Critical Patch Update ที่เผยแพร่เมื่อวันที่ 18 กรกฎาคม 2549 ผู้ที่เป็นสมาชิกของ Metalink สามารถอ่านข้อมูลเพิ่มเติมจาก 372930.1 (ต้องการการล็อกอินเพื่อเข้าดู)

Appendix A. References

US-CERT Vulnerability Note VU#932124 - <http://www.kb.cert.org/vuls/id/932124>
US-CERT Vulnerability Notes Related to Critical Patch Update - July 2006 - <http://www.kb.cert.org/vuls/byid?searchview&query=oracle_cpu_july_2006>
Critical Patch Update - July 2006 - <http://www.oracle.com/technology/deploy/security/pdf/cpujul2006.html>
Critical Patch Updates and Security Alerts - <http://www.oracle.com/technology/deploy/security/alerts.htm>
Oracle Database Security Checklist (PDF) - <http://www.oracle.com/technology/deploy/security/pdf/twp_security_checklist_db_database.pdf>
MetaLink Note 293956.1 (login required) - <http://metalink.oracle.com/metalink/plsql/showdoc?db=Not&id=293956.1>
MetaLink Note 372930.1 (login required) - <http://metalink.oracle.com/metalink/plsql/showdoc?db=Not&id=372930.1>
Details Oracle Critical Patch Update July 2006 - <http://www.red-database-security.com/advisory/oracle_cpu_jul_2006.html>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์