Oracle Portal PORTAL.wwv_main.render_warning_screen XSS Güvenlik Açığı

Duyuru Tarihi: 1 Şubat 2007

CVE: CVE-2007-1506
BID: 22999

Açıklama: Dinamik olarak oluşturulan web sayfalarında, kullanıcı tarafından sağlanan bilgiler uygulama tarafından düzgün bir şekilde işlenemediği veya kontrol edilemediği durumlarda, yetkisiz kişiler istedikleri script kodlarının görüntülenecek sayfada çalışmasını sağlayabilirler. Söz konusu problem Cross Site Scripting (XSS) olarak adlandırılmaktadır. Bu problem ile daha çok girilen arama metnini tekrar browserda görüntüleyen arama motorları, hataya yol açan metni tekrar eden hata mesajları, doldurulan değerlerin sonradan kullanıcıya görüntülendiği form’lar, kullanıcıların kendi mesajlarını yayınlayabilmelerine izin veren web mesaj boardları gibi uygulamalarda ortaya çıkmaktadır. Söz konusu saldırının hedefi direkt olarak sunucuya bağlanan kullanıcılardır. Uygulamalardaki XSS açıkları kullanılarak, bağlanan kullanıcıların sessionid, cookie gibi bilgileri çalınmaya çalışılır. Her ne kadar hedef direkt olarak kullanıcı olsa da neticede doğacak zarar yine uygulamadan kaynaklanmaktadır. Gerçekleştirilen testler sistem üzerindeki uygulamaların büyük bir bölümünde bu açığın bulunduğunu göstermektedir. Bu açık yetersiz parametre denetimlerinin sonucu olarak ortaya çıkmaktadır.

Gerçekleştirilen güvenlik denetleme çalışmaları sırasında oracle portal üzerinde yer alan PORTAL.wwv_main.render_warning_screen uygulamasının yukarıda detayları verilen XSS tipi saldırılar gerçekleştirmek için kullanılabileceği tespit edilmiştir.

Aşağıda söz konusu açığın nasıl kullanılacağı ile ilgili örnek yer almaktadır.

http://websitesi/pls/portal/PORTAL.wwv_main.render_warning_screen?p_oldurl='<script>alert('inTellect')</script>&p_newurl='<script>alert('PRO')</script>

Etkilenen Sürüm: Oracle Portal 9i, 10g

Etki Alanı: Uzaktan Erişim

Risk Seviyesi: Yüksek

Çözüm: Konuyla ilgili olarak üretici firma gerekli yamanın Ocak 2008 ile duyurulacak kümülatif güncelleme içine ekleyeceğini belirtmiştir.

Not: Yukarıda belirtilen ve diğer Oracle Application Server güvenlik açıklarını kontrol etmek için inTellectPRO teknik ekibi tarafından geliştirilen OAPScan aracı kullanılabilir.