ThaiCERT : Advisories & Alerts : CERT : CA-2007-04

Home >> Advisories & Alerts << Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

Advisories & Alerts
CERT Advisory
Alert

CERT Advisory CA-2007-04 (Technical Cyber Security Alert TA07-017A)
Oracle Releases Patches for Multiple Vulnerabilities
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA07-017A.html
เรียบเรียงโดย: ภัทราวดี เหมทานนท์

ระบบที่ได้รับผลกระทบ

Oracle Database
Oracle Application Server
Oracle HTTP Server (Apache)
Oracle Identity Management
Oracle Enterprise Manager Grid Control
Oracle E-Business Suite
Oracle Collaboration Suite
Oracle PeopleSoft Enterprise PeopleTools
Oracle Life Sciences Applications (แอพพลิเคชันเฉพาะทางด้านเภสัชกรรม)

สำหรับข้อมูลเพิ่มเติมที่เกี่ยวข้องกับเวอร์ชันของผลิตภัณฑ์ที่ได้รับผลกระทบ ท่านสามารถติดตามได้จาก Oracle Critical Patch Update ประจำเดือนมกราคม 2550

กล่าวโดยทั่วไป

Oracle ออกโปรแกรมอัพเดตช่องโหว่ที่เกี่ยวข้องกับช่องโหว่หรือจุดอ่อนของผลิตภัณฑ์ Oracle ต่างๆ ผลกระทบของช่องโหว่เหล่านี้ประกอบด้วย การทำให้ผู้บุกรุกสามารถสั่งรันโปรแกรมได้จากระยะไกล, ข้อมูลบนระบบถูกเปิดเผย และการทำให้ระบบไม่สามารถให้บริการได้

I. คำอธิบาย

Oracle ประกาศ Critical Patch Update ประจำเดือนมกราคม 2550 โดย Critical Patch Update (CPU) นี้ประกอบด้วย

การปรับปรุงทางด้านความปลอดภัยสำหรับฐานข้อมูล Oracle จำนวน 17 รายการ ซึ่งมี 1 รายการที่เกี่ยวข้องเฉพาะโปรแกรมใช้งานที่ฝั่งเครื่องลูกข่าย
การปรับปรุงทางด้านความปลอดภัยสำหรับเว็บเซิร์ฟเวอร์ Oracle จำนวน 9 รายการ
การปรับปรุงทางด้านความปลอดภัยสำหรับแอพพลิเคชันเซิร์ฟเวอร์ Oracle จำนวน 12 รายการ
การปรับปรุงทางด้านความปลอดภัยสำหรับ Oracle E-Business Suite จำนวน 7 รายการ
การปรับปรุงทางด้านความปลอดภัยสำหรับ Oracle Enterprise Manager จำนวน 6 รายการ
การปรับปรุงทางด้านความปลอดภัยสำหรับ Oracle PeopleSoft Enterprise PeopleTools จำนวน 3 รายการ

ผลิตภัณฑ์ของ Oracle หลายผลิตภัณฑ์อาจใช้ไลบรารีหรือโค้ดร่วมกับผลิตภัณฑ์และคอมโพเน็นต์ของ Oracle ที่มีช่องโหว่ ด้วยเหตุนี้ช่องโหว่หนึ่งช่องโหว่จึงมีผลกระทบกับผลิตภัณฑ์และคอมโพเน็นต์ของ Oracle หลายผลิตภัณฑ์ เช่น Critical Patch Update ประจำเดือนมกราคม 2550 ไม่ได้รวมโปรแกรมอุดช่องโหว่ (fix) ของชุด Oracle Collaboration Suite ไว้ด้วย แต่ชุด Oracle Collaboration Suite อาจได้รับผลกระทบที่เกิดจากช่องโหว่ของ Oracle Database และ โปรแกรม Oracle Application Server ดังนั้นระบบที่ใช้ชุด Oracle Collaboration Suite อยู่จึงควรติดตั้งโปรแกรมอุดช่องโหว่สำหรับ Oracle Database และ โปรแกรม Oracle Application Server ด้วย เป็นต้น สามารถศึกษารายละเอียดเพิ่มเติมได้จากผลกระทบจากช่องโหว่ของผลิตภัณฑ์ และคอมโพเน็นต์ของ Oracle

รายการช่องโหว่ที่เผยแพร่นั้นกล่าวอยู่ใน Critical Patch Update ประจำเดือนมกราคม 2550 โดยอ้างถึง Map of Public Vulnerability to Advisory/Alert โดยที่ Critical Patch Update ประจำเดือนมกราคม 2550 ไม่ระบุไว้เป็นหมายเลข Vuln# (เช่น DB01) สำหรับข้อมูลอื่นที่เกี่ยวข้องกับช่องโหว่และวิธีการแก้ไขจะเพิ่มเติมรายละเอียดไว้ที่ vulnerability notes ต่อไป

II. ผลกระทบ

ผลกระทบของช่องโหว่เหล่านี้ขึ้นกับผลิตภัณฑ์ คอมโพเน็นต์ และคอนฟิกูเรชันของระบบที่ใช้งานอยู่ ผลกระทบต่อเนื่องที่เป็นไปได้ ได้แก่ การสั่งรันโปรแกรมหรือคำสั่งจากระยะไกล การเปิดเผยข้อมูล รวมทั้งการทำให้ระบบไม่สามารถให้บริการได้ คอมโพเน็นต์ที่มีช่องโหว่อาจมีความเสี่ยงต่อการถูกบุกรุกโดยผู้บุกรุกจากระยะไกลซึ่งผู้บุกรุกที่ครอบครองฐานข้อมูลของ Oracle อาจได้สิทธิการเข้าถึงข้อมูลที่สำคัญ หรือสามารถเข้าควบคุมเครื่องของระบบได้อย่างสมบูรณ์

III วิธีแก้ไข

ติดตั้งโปรแกรมอุดช่องโหว่

ติดตั้งโปรแกรมอุดช่องโหว่ตามข้อมูลในเอกสาร Critical Patch Update ฉบับประจำเดือนมกราคม 2550 สำหรับ Critical Patch Update นี้จะแสดงรายละเอียดที่ใช้ในการแก้ไขช่องโหว่ใหม่เท่านั้น

โปรแกรมอุดช่องโหว่บางโปรแกรมเป็นลักษณะรวมทุกๆ โปรแกรมอุดช่องโหว่ก่อนหน้า (Cumulative) แต่บางโปรแกรมยังไม่รวม:

โปรแกรมอุดช่องโหว่ที่เป็นแบบ cumulative ได้แก่ Oracle Database, Oracle Application Server, Oracle Enterprise Manager Grid Control, Oracle Collaboration Suite, JD Edwards EnterpriseOne, JD Edwards OneWorld Tools, PeopleSoft Enterprise Portal Applications และ PeopleSoft Enterprise Portal Applications patches in the Updates ซึ่งโปรแกรมอุดช่องโหว่จะเป็นลักษณะรวมทุกๆ โปรแกรมอุดช่องโหว่ก่อนหน้าไว้แล้ว

โปรแกรมอุดช่องโหว่สำหรับ Oracle E-Business Suite และ Applications patches ไม่เป็นแบบรวมทุกโปรแกรมอุดช่องโหว่ก่อนหน้า ดังนั้นการติดตั้งโปรแกรมอุดช่องโหว่สำหรับ Oracle E-Business Suite and Applications จะต้องอ้างถึงการติดตั้งโปรแกรมอุดช่องโหว่ก่อนหน้านี้เพื่อทำการติดตั้งให้ครบ

ช่องโหว่ที่กล่าวถึงใน Critical Patch Update ของเดือนมกราคม 2550 อาจมีผลกระทบกับ Oracle Database 10g Express Edition (XE) ด้วย เนื่องจาก Oracle Database XE พัฒนามาจาก Oracle Database 10g Release 2

การปรับปรุงช่องโหว่ของ Oracle เขียนอยู่ใน pre-installation notes และไฟล์ patch readme ดังนั้นควรศึกษาเอกสารเหล่านี้และทดสอบก่อนทำการเปลี่ยนแปลงระบบ

Appendix A. References

US-CERT Vulnerability Notes Related to Critical Patch Update - January 2007 - <http://www.kb.cert.org/vuls/byid?searchview&query=oracle_cpu_jan_2007>
Critical Patch Update - January 2007 - <http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html>
Critical Patch Updates and Security Alerts - <http://www.oracle.com/technology/deploy/security/alerts.htm>
Map of Public Vulnerability to Advisory/Alert - <http://www.oracle.com/technology/deploy/security/critical-patch-updates/public_vuln_to_advisory_mapping.html>
Oracle Database Security Checklist (PDF) - <http://www.oracle.com/technology/deploy/security/pdf/twp_security_checklist_db_database.pdf>
Critical Patch Update Implementation Best Practices (PDF) - <http://www.oracle.com/technology/deploy/security/pdf/cpu_whitepaper.pdf>
Oracle Database 10g Express Edition - <http://www.oracle.com/technology/products/database/xe/index.html>
Details Oracle Critical Patch Update January 2007 - <http://www.red-database-security.com/advisory/oracle_cpu_jan_2007.html>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์