Clear
Lead Graphic Papers

ช่องโหว่ TNS listener ใน Oracle Database (CVE-2012-1675)

วันที่ประกาศ: 3 พฤษภาคม 2555
ปรับปรุงล่าสุด: 3 พฤษภาคม 2555
เรื่อง: ช่องโหว่ TNS listener ใน Oracle Database (CVE-2012-1675)

ประเภทภัยคุกคาม: Intrusion

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

TNS (Transparent Network Substrate) เป็นเทคโนโลยีที่ Oracle พัฒนาขึ้นมาเพื่อให้เครื่องคอมพิวเตอร์สามารถเชื่อมต่อเข้าสู่ระบบฐานข้อมูลด้วยวิธี Peer-to-Peer โดยจะมี Service ชื่อ TNS listener เปิดพอร์ตที่ฝั่ง Database Server เพื่อรอรับการเชื่อมต่อจาก Client [1] [2] เทคโนโลยี TNS เริ่มมีใน Oracle Database Server ตั้งแต่เวอร์ชั่น 8i ซึ่งถูกเผยแพร่ในปี 2542

ช่องโหว่ของ TNS Listener ถูกค้นพบและแจ้งไปยัง Oracle ตั้งแต่ปี 2551 [3] จนกระทั่งวันที่ 30 เมษายน 2555 Oracle ได้ออกประกาศแจ้งเตือนเรื่องความมั่นคงปลอดภัย (Security Alert) ของช่องโหว่ CVE-2012-1675 โดยได้เรียกช่องโหว่ดังกล่าวนี้ว่า "TNS Listener Poison Attack" [4]

ผลกระทบ

ช่องโหว่ดังกล่าวอนุญาตให้ผู้โจมตีส่งคำสั่งเข้ามายัง Service ของ TNS listener เพื่อ Hijack Connection ของผู้ใช้ที่ล็อกอินอยู่ในระบบแล้ว โดยที่ผู้โจมตีไม่จำเป็นต้องใส่ Username หรือ Password แต่อย่างใด [5] [6] ตัวอย่างวิดีโอการโจมตีผ่านช่องโหว่นี้ดูได้จาก http://youtu.be/hE3-AkxSX3w

ระบบที่ได้รับผลกระทบ

Oracle แจ้งในรายงาน Security Alert ว่ามีระบบที่ได้รับผลกระทบดังนี้ [4]

  • Oracle Database 11g Release 2 เวอร์ชั่น 11.2.0.2 และ 11.2.0.3
  • Oracle Database 11g Release 1 เวอร์ชั่น 11.1.0.7
  • Oracle Database 10g Release 2 เวอร์ชั่น 10.2.0.3, 10.2.0.4 และ 10.2.0.5
  • เนื่อง จาก Oracle Fusion Middleware, Oracle Enterprise Manager และ Oracle E-Business Suite มีส่วนการทำงานของ Oracle Database อยู่ในระบบ ทำให้ได้รับผลกระทบจากช่องโหว่ดังกล่าวด้วย

ข้อแนะนำในการป้องกันและแก้ไข

Oracle ได้ปล่อยแพทช์ที่ใช้แก้ไขช่องโหว่นี้ผ่าน Critical Patch Update (CPU) ประจำเดือนเมษายน 2555 ซึ่งสามารถดาวน์โหลดได้จากเว็บไซต์ของ Oracle [7] อย่างไรก็ตาม แพทช์ดังกล่าวนี้แก้ไขช่องโหว่ในซอฟต์แวร์ Oracle Database Server เฉพาะเวอร์ชั่น 10 และ 11 เท่านั้น เนื่องจากทาง Oracle ได้ให้เหตุผลว่า การปรับแต่งโค้ดเพื่อให้ใช้งานได้กับซอฟต์แวร์เวอร์ชั่นเก่านั้นเป็นเรื่องยากลำบากเพราะมีผกระทบกับหลายส่วนของระบบ [8]

ผู้ที่ใช้งานซอฟต์แวร์ Oracle Database Server เวอร์ชั่นเก่าที่ไม่ได้รับการแพทช์ หากเป็นไปได้ควรอัพเกรดซอฟต์แวร์ให้เป็นเวอร์ชั่นล่าสุด หรืออาจตั้งค่า Database Server ไม่ให้เครื่องที่ไม่เกี่ยวข้องเข้าใช้งาน TNS Service ได้ [9]

อ้างอิง

  1. http://www.csee.umbc.edu/portal/help/oracle8/network.815/a67440/ch1.htm
  2. http://docs.oracle.com/cd/B10501_01/network.920/a96580/architec.htm
  3. http://seclists.org/fulldisclosure/2012/Apr/204
  4. http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html
  5. http://thehackernews.com/2012/05/oracle-database-new-zero-day-exploit.html
  6. http://www.joxeankoret.com/download/tnspoison.pdf
  7. http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html
  8. http://itknowledgeexchange.techtarget.com/security-bytes/oracle-trips-on-tns-zero-day-workaround/
  9. http://searchsecurity.techtarget.com/news/2240149475/Oracle-wont-patch-four-year-old-zero-day-in-TNS-listener
Clear