ThaiCERT : Advisories & Alerts : CERT : CA-2008-03

Home >> Advisories & Alerts << Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

Advisories & Alerts
CERT Advisory
Alert

CERT Advisory CA-2008-03 (Technical Cyber Security Alert TA08-017A)
Oracle Updates for Multiple Vulnerabilities
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA08-017A.html
เรียบเรียงโดย: ไตรรัตน์ พุทธรักษา, CISSP, SANS GIAC GCIH

ระบบที่ได้รับผลกระทบ

Oracle Database 10g Release, เวอร์ชัน 10.2.0.2, 10.2.0.3
Oracle Database 10g เวอร์ชัน 10.1.0.5
Oracle 9i Database Release 2, เวอร์ชัน 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 3 (10.1.3), เวอร์ชัน 10.1.3.0.0, 10.1.3.1.0, 10.1.3.3.0
Oracle Application Server 10g Release 2 (10.1.2), เวอร์ชัน 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
Oracle Application Server 10g (9.0.4), เวอร์ชัน 9.0.4.3
Oracle Collaboration Suite 10g เวอร์ชัน 10.1.2
Oracle PeopleSoft Enterprise เวอร์ชัน 8.22, 8.48, 8.49
Oracle E-Business Suite versions 12, เวอร์ชัน 12.0.0 - 12.0.3
Oracle E-Business Suite versions 11i, เวอร์ชัน 11.5.9 - 11.5.10 CU2

สำหรับข้อมูลเพิ่มเติมของผลิตภัณฑ์ที่ได้รับผลกระทบ สามารถศึกษาได้จาก Oracle Critical Patch Update ประจำเดือนมกราคม 2551

กล่าวโดยทั่วไป

ผลิตภัณฑ์ของ Oracle และซอฟต์แวร์ส่วนประกอบ (component) มีช่องโหว่จำนวนหนึ่ง ซึ่งผลกระทบของช่องโหว่เหล่านี้คือผู้บุกรุกสามารถรันคำสั่งของระบบได้จากระยะไกล การเปิดเผยข้อมูลของระบบ รวมทั้งการทำให้ระบบไม่สามารถใช้งานได้

I. คำอธิบาย

Oracle ได้เผยแพร่ Critical Patch Update ประจำเดือนมกราคม 2551 ซึ่งโปรแกรมซ่อมแซมช่องโหว่ดังกล่าวได้ทำการแก้ไขช่องโหว่ทั้งหมดจำนวน 26 ช่องโหว่ของผลิตภัณฑ์ Oracle และซอฟต์แวร์ส่วนประกอบของ Oracle

ใน Critical Patch Update ดังกล่าว ได้ให้ข้อมูลเกี่ยวกับระบบที่มีผลกระทบต่อช่องโหว่, การเข้าถึงและระดับสิทธิที่ผู้บุกรุกจำเป็นต้องใช้ในการโจมตีโดยอาศัยช่องโหว่ รวมทั้งผลกระทบของช่องโหว่ที่มีต่อความลับของข้อมูล (data confidentiality), ความถูกต้องของข้อมูล (data integrity) และการใช้งานได้ของข้อมูล (data availability) สำหรับผู้ใช้งาน MetaLink (เว็บไซต์ของ Oracle ที่ให้บริการข้อมูลทางด้านเทคนิค) สามารถศึกษาข้อมูลของการใช้งาน Critical Patch Update ได้จาก MetaLink Note 467880.1 (ผู้ใช้ต้องทำการล็อคอินเพื่อเข้าไปศึกษาข้อมูลดังกล่าว)

นอกจากนี้ Oracle ยังได้ให้ข้อมูลเพิ่มเติมว่าช่องโหว่ดังกล่าวนี้ไม่มีผลกระทบกับระบบที่ติดตั้ง Oracle แบบ Client-Only

โดยปกติแล้วการรายงานช่องโหว่ของ Oracle นั้น ไม่ได้มีการระบุหมายเลขช่องโหว่ (ยกตัวอย่างเช่น DB01) เหมือนกับข้อมูลของช่องโหว่จากแหล่งอื่น หากมีข้อมูลที่สำคัญเพิ่มเติมเกี่ยวกับช่องโหว่ดังกล่าวและวิธีการแก้ไข จะมีการเพิ่มเติมข้อมูลที่ Vulnerability Notes Database

II. ผลกระทบ

ผลกระทบของช่องโหว่ดังกล่าวจะแตกต่างกันออกไปตามผลิตภัณฑ์ ซอฟต์แวร์ส่วนประกอบ และการปรับแต่งของระบบ ผลกระทบที่เป็นไปได้มีทั้งผู้บุกรุกสามารถรันคำสั่งของระบบได้จากระยะไกล การเปิดเผยข้อมูลของระบบ รวมทั้งการทำให้ระบบไม่สามารถใช้งานได้ ซอฟต์แวร์ส่วนประกอบที่มีช่องโหว่อาจถูกโจมตีโดยผู้บุกรุกจากระยะไกลที่ไม่จำเป็นต้องทำการพิสูจน์ตัวตน ผู้บุกรุกซึ่งสามารถโจมตีระบบจัดการฐานข้อมูล Oracle ได้เป็นผลสำเร็จอาจสามารถเข้าถึงข้อมูลที่มีความสำคัญได้

III. วิธีแก้ไข

ติดตั้งโปรแกรมซ่อมแซมช่องโหว่

ติดตั้งโปรแกรมซ่อมแซมช่องโหว่ที่เหมาะสมหรืออัพเกรดระบบตามที่กล่าวไว้ใน Oracle Critical Patch Update ประจำเดือนมกราคม 2551 อย่างไรก็ตาม Critical Patch Update นี้แสดงถึงช่องโหว่ใหม่ที่ได้รับการแก้ไขเท่านั้น ไม่ได้กล่าวถึงช่องโหว่เก่าที่ได้รับการแก้ไขไปแล้ว

นอกจากนี้ โปรแกรมซ่อมแซมช่องโหว่บางตัวนั้นได้รวมโปรแกรมซ่อมแซมช่องโหว่ที่เกี่ยวข้องก่อนหน้านี้ไว้ในตัวแล้ว (cumulative) ในขณะที่ยังมีโปรแกรมซ่อมแซมช่องโหว่อีกจำนวนหนึ่งไม่ได้รวมไว้

โปรแกรมซ่อมแซมช่องโหว่ของ The Oracle Database, Oracle Application Server, Oracle Enterprise Manager Grid Control, Oracle E-Business Suite Applications (Release 12 only), JD Edwards EnterpriseOne, JD Edwards OneWorld Tools, PeopleSoft Enterprise Portal Applications and PeopleSoft Enterprise PeopleTools เป็นโปรแกรมซ่อมแซมช่องโหว่ที่รวบรวมโปรแกรมซ่อมแซมช่องโหว่ที่เกี่ยวข้องอื่นๆ ที่ได้กล่าวไว้ใน Critical Patch Updates ก่อนหน้านี้

โปรแกรมซ่อมแซมช่องโหว่ของ Oracle E-Business Suite Applications Release 11i ไม่ได้รวบรวมโปรแกรมซ่อมแซมช่องโหว่ก่อนหน้าที่เกี่ยวข้องไว้ ดังนั้นผู้ใช้ Oracle E-Business Suite Applications ควรศึกษาข้อมูลใน Critical Patch Updates เพื่อตรวจสอบว่าจำเป็นต้องติดตั้งโปรแกรมซ่อมแซมช่องโหว่ใดบ้างที่เกี่ยวข้อง สำหรับโปรแกรมซ่อมแซมช่องโหว่ของ Oracle Collaboration Suite patches ได้รวบรวมโปรแกรมซ่อมแซมช่องโหว่ที่เกี่ยวข้องจนถึง Critical Patch Update ประจำเดือนเมษายน 2550 และตั้งแต่ Critical Patch Update ประจำเดือนกรกฎาคม 2550 เป็นต้นไป โปรแกรมซ่อมแซมช่องโหว่ของ Oracle Collaboration Suite จะไม่ได้รวมโปรแกรมซ่อมแซมช่องโหว่ที่เกี่ยวข้องก่อนหน้านี้ไว้

โปรแกรมซ่อมแซมช่องโหว่บนบางระบบและบางส่วนนั้นไม่ได้มีให้ดาวน์โหลดจาก Critical Patch Update ประจำเดือนมกราคม 2551 โดยผู้ใช้สามารถศึกษาข้อมูลเพิ่มเติมได้จาก MetaLink Note 467880.1 (ผู้ใช้ต้องทำการล็อคอินเพื่อเข้าไปศึกษาข้อมูลดังกล่าว)

ข้อมูลของโปรแกรมซ่อมแซมช่องโหว่มีอยู่ในไฟล์เอกสารสำหรับอ่านก่อนการติดตั้ง (Readme) ดังนั้นผู้ใช้จึงควรศึกษาเอกสารดังกล่าวก่อนทำการติดตั้งโปรแกรมซ่อมแซมช่องโหว่ลงไปในระบบ

IV. ข้อมูลจากเจ้าของผลิตภัณฑ์

Oracle

สามารถศึกษาข้อมูลเพิ่มเติมได้จาก Critical Patch Update ประจำเดือนมกราคม 2551 และ Critical Patch Updates and Alerts

V. เอกสารอ้างอิง

Critical Patch Update for January 2008 - <http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2008.html>
Critical Patch Updates and Security Alerts - <http://www.oracle.com/technology/deploy/security/alerts.htm>
Map of Public Vulnerability to Advisory/Alert - <http://www.oracle.com/technology/deploy/security/pdf/public_vuln_to_advisory_mapping.html>
Oracle Database Security Checklist (PDF) - <http://www.oracle.com/technology/deploy/security/pdf/twp_security_checklist_db_database.pdf>
MetaLink Note 467880.1 (login required) - <https://metalink.oracle.com/metalink/plsql/f?p=200:37:8541351131282773504::::p_database_id,p_id:NOT,467880.1>
Details Oracle Critical Patch Update for January 2008 - <http://www.red-database-security.com/advisory/oracle_cpu_jan_2008.html>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์