ThaiCERT : Advisories & Alerts : CERT : CA-2006-34

Home >> Advisories & Alerts << Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

Advisories & Alerts
CERT Advisory
Alert

CERT Advisory CA-2006-34 (Technical Cyber Security Alert TA06-291A)
Oracle Updates for Multiple Vulnerabilities
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA06-291A.html
เรียบเรียงโดย: ภัทราวดี เหมทานนท์

ระบบที่ได้รับผลกระทบ

Oracle10g Database
Oracle9i Database
Oracle8i Database
Oracle Application Express (formerly known as Oracle HTML DB)
Oracle Application Server 10g
Oracle Collaboration Suite 10g
Oracle9i Collaboration Suite
Oracle E-Business Suite Release 11i
Oracle E-Business Suite Release 11.0
Oracle Pharmaceutical Applications
Oracle PeopleSoft Enterprise Portal Solutions
Oracle PeopleSoft Enterprise PeopleTools
JD Edwards EnterpriseOne Tools
JD Edwards OneWorld Tools
Oracle Reports Developer client-only installations
Oracle Containers for J2EE client-only installations

สำหรับข้อมูลเพิ่มเติมที่เกี่ยวข้องกับเวอร์ชันของผลิตภัณฑ์ที่ได้รับผลกระทบ ท่านสามารถติดตามได้จาก Oracle Critical Patch Update ประจำเดือนตุลาคม 2549

กล่าวโดยทั่วไป

Oracle ออกโปรแกรมอัพเดทช่องโหว่ที่เกี่ยวข้องกับช่องโหว่หรือจุดอ่อนของผลิตภัณฑ์ Oracle ต่างๆ ผลกระทบของช่องโหว่เหล่านี้ประกอบด้วย การทำให้ผู้บุกรุกสามารถสั่งรันโปรแกรมได้จากระยะไกล, ข้อมูลบนระบบถูกเปิดเผย และการทำให้ระบบไม่สามารถให้บริการได้้

I. คำอธิบาย

Oracle ประกาศ Critical Patch Update ประจำเดือนตุลาคม 2549 ซึ่งประกอบด้วย Critical Patch Update ดังต่อไปนี้

22 security fixes เพิ่มเติมสำหรับ Oracle Database
6 new security fixes เพิ่มเติมสำหรับ Oracle HTTP Server
35 new security fixes เพิ่มเติมสำหรับ Oracle Application Express
14 new security fixes เพิ่มเติมสำหรับ Oracle Application Server
13 security fixes เพิ่มเติมสำหรับ Oracle E-Business Suite
8 security fixes เพิ่มเติมสำหรับ Oracle PeopleSoft Enterprise PeopleTools and Enterprise Portal Solutions
1 security fix เพิ่มเติมสำหรับ JD Edwards EnterpriseOne
1 security fix เพิ่มเติมสำหรับ Oracle Pharmaceutical Applications

หลายผลิตภัณฑ์ของ Oracle อาจใช้ไลบรารี่หรือโค๊ดร่วมกับผลิตภัณฑ์และคอมโพเน้นท์ของ Oracle ที่มีช่องโหว่ ด้วยเหตุนี้ช่องโหว่หนึ่งจะมีผลกระทบกับผลิตภัณฑ์และคอมโพเน้นท์ของ Oracle อีกหลายผลิตภัณฑ์ด้วย เช่น Critical Patch Update ประจำเดือนตุลาคม 2549 ไม่ได้รวมโปรแกรมอุดช่องโหว่ (fixes) ของชุด Oracle Collaboration Suite ไว้ด้วย ทำให้ชุด Oracle Collaboration Suite อาจได้รับผลกระทบที่เกิดจากช่องโหว่ของ Oracle Database และ โปรแกรม Oracle Application Server ด้วย ดังนั้น ระบบที่ใช้ชุด Oracle Colaboration Suite อยู่แล้วจึงควรติดตั้งโปรแกรมแก้ไขช่องโหว่ (fix) สำหรับ Oracle Database และ โปรแกรม Oracle Application Server ร่วมด้วย สามารถศึกษารายละเอียดเพิ่มเติมได้จากผลกระทบจากช่องโหว่ของผลิตภัณฑ์ และคอมโพเน้นท์ของ Oracle

รายการช่องโหว่ที่เผยแพร่นั้นกล่าวอยู่ใน Critical Patch Update ประจำเดือนตุลาคม 2549 โดยอ้างถึง Map of Public Vulnerability to Advisory/Alert โดยที่ Critical Patch Update ประจำเดือนตุลาคม 2549 ไม่ระบุไว้เป็นหมายเลข Oracle Vuln# (เช่น DB01) สำหรับข้อมูลเพิ่มเติมที่เกี่ยวข้องกับช่องโหว่ และ วิธีการแก้ไขจะเพิ่มเติมรายละเอียด ไว้ที่ vulnerability notes ต่อไป

II. ผลกระทบ

ผลกระทบของช่องโหว่เหล่านี้ขึ้นกับผลิตภัณฑ์ คอมโพเน้นท์ และคอนฟิกูเรชันของระบบที่ใช้งานอยู่ ผลกระทบต่อเนื่องที่เป็นไปได้ ได้แก่ การสั่งรันโปรแกรมหรือคำสั่งจากระยะไกล การเปิดเผยข้อมูล รวมทั้งการทำให้ระบบไม่สามารถให้บริการได้ คอมโพเน้นท์ที่มีช่องโหว่อาจมีความเสี่ยงต่อการถูกบุกรุกโดยผู้บุกรุกจากระยะไกลซึ่งผู้บุกรุกที่ครอบครองฐานข้อมูลของ Oracle อาจได้สิทธิการเข้าถึงข้อมูลที่สำคัญ หรือสามารถเข้าควบคุมเครื่องของระบบได้อย่างสมบูรณ์้

III วิธีแก้ไข

ติดตั้งโปรแกรมอุดช่องโหว่์

ติดตั้งโปรแกรมอุดช่องโหว่ตามข้อมูลในเอกสาร Critical Patch Update ฉบับประจำเดือนตุลาคม 2549
บันทึก สำหรับ Critical Patch Update นี้ จะแสดงรายละเอียดที่ใช้ในการแก้ไขช่องโหว่ใหม่เท่านั้น

ดังที่กล่าวไว้ว่าโปรแกรมอุดช่องโหว่บางโปรแกรมเป็นลักษณะรวมทุก ๆ โปรแกรมอุดช่องโหว่ก่อนหน้าแล้ว (Cumulative) แต่บางโปรแกรมยังไม่รวม:

โปรแกรมอุดช่องโหว่ที่เป็นแบบ cumulative ได้แก่ Oracle Database, Oracle Application Server, Oracle Enterprise Manager Grid Control, Oracle Collaboration Suite, JD Edwards EnterpriseOne, JD Edwards OneWorld Tools, PeopleSoft Enterprise Portal Applications และ PeopleSoft Enterprise Portal Applications patches in the Updates ซึ่งโปรแกรมอุดช่องโหว่จะเป็นลักษณะรวมทุกๆ โปรแกรมอุดช่องโหว่ก่อนหน้าไว้แล้ว

โปรแกรมอุดช่องโหว่สำหรับ Oracle E-Business Suite และ Applications patches ไม่เป็นแบบ cumulative ดังนั้นการติดตั้งโปรแกรมอุดช่องโหว่สำหรับ Oracle E-Business Suite and Applications จะต้องอ้างถึงการติดตั้งโปรแกรมอุดช่องโหว่ก่อนหน้านี้เพื่อทำการติดตั้งให้ครบ

Critical Patch Update (CPU) ของเดือนตุลาคม 2549 มีช่องโหว่จำนวน 35 รายการซึ่งมีผลกระทบกับ Oracle Application Express ช่องโหว่นี้ได้รับการกล่าวถึงใน Oracle Application Express version 2.2.1 ผู้ใช้งาน Oracle Application Express ควรอัพเกรดให้เป็นเวอร์ชัน 2.2.1 ให้เร็วที่สุดเท่าที่จะเป็นไปได้

ช่องโหว่ที่กล่าวถึงใน Critical Patch Update (CPU) ของเดือนตุลาคม 2549 อาจมีผลกระทบกับ Oracle Database 10g Express Edition (XE) ด้วย เนื่องจาก Oracle Database XE พัฒนามากจาก Oracle Database 10g Release 2

โปรแกรมอุดช่องโหว่สำหรับบางแพลตฟอร์มและคอมโพเน้นท์ไม่มีใน Critical Patch Update ที่เผยแพร่เมื่อวันที่ 17 ตุลาคม 2549 ผู้ที่เป็นสมาชิกของ Metalink สามารถอ่านข้อมูลเพิ่มเติมจาก 372930.1 (ต้องการการล็อกอินเพื่อเข้าดู)

การปรับปรุงช่องโหว่ของ Oracle เขียนอยู่ใน pre-installation notes และไฟล์ patch reasme ดังนั้นควรศึกษาเอกสารเหล่านี้และทดสอบก่อนทำการเปลี่ยนแปลงระบบ

Appendix A. References

US-CERT Vulnerability Notes Related to Critical Patch Update - October 2006 - <http://www.kb.cert.org/vuls/byid?searchview&query=oracle_cpu_oct_2006>
Critical Patch Update - October 2006 - <http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html>
Critical Patch Updates and Security Alerts - <http://www.oracle.com/technology/deploy/security/alerts.htm>
Map of Public Vulnerability to Advisory/Alert - <http://www.oracle.com/technology/deploy/security/critical-patch-updates/public_vuln_to_advisory_mapping.html>
Oracle Database Security Checklist (PDF) - <http://www.oracle.com/technology/deploy/security/pdf/twp_security_checklist_db_database.pdf>
Critical Patch Update Implementation Best Practices (PDF) - <http://www.oracle.com/technology/deploy/security/pdf/cpu_whitepaper.pdf>
Oracle Application Express 2.2 Downloads - <http://www.oracle.com/technology/products/database/application_express/download.html>
Oracle Metalink Note 391563.1 - <http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=391563.1>
Oracle Database 10g Express Edition - <http://www.oracle.com/technology/products/database/xe/index.html>
Analysis of the October 2006 Critical Patch Update for the Oracle RDBMS - <http://www.databasesecurity.com/oracle/OracleOct2006-CPU-Analysis.pdf>
Details Oracle Critical Patch Update October 2006 - <http://www.red-database-security.com/advisory/oracle_cpu_oct_2006.html>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์