Oracle Applications E-Bussiness Suite 11i Bilgi Açığa Çıkarma Güvenlik Açıkları

Tespit Edilme Tarih: 19 Nisan 2007

Duyuru Tarihi: 4 Haziran 2007

Açıklama: Oracle E-Bussiness Suite 11i ilk kurulumu sonrası web üzerinden erişilebilen ve sistem hakkında değişik bilgiler yayınladığı görülen web sayfaları içerdiği tespit edilmiştir.

Bu sayfaların bazılarında ilgili uygulamaya ait yönetici parolalarını da içeren yapılandırma  bilgileri yer aldığı görülmüştür. Bu sayfalardan elde edilecek bilgiler ileride gerçekleştirilebilecek saldırılarda referans olarak kullanılabilecek niteliktedir.

Etkilenen Sürüm: Oracle Applications E-Bussiness Suite 11i

Etki Alanı: Uzaktan Erişim

Risk Seviyesi: Orta / Yüksek

Çözüm: Söz konusu açıklar ile ilgili olarak üretici firma ile 19 Nisan 2007 tarihinde bağlantıya geçilmiş olup, ilgili düzeltmelerin yapılacağı bilgisi tarafımıza iletilmiştir. İlgili düzeltme tamamlana kadar geçici çözüm olarak aşağıda listesi verilen sayfalara erişimin kısıtlanması düşünülebilir.

# Oracle Application Web CGI Configuration File
http://sunucuadresi/OA_HTML/bin/appsweb.cfg
http://sunucuadresi/OA_HTML/bin/appsweb_PROD.cfg
http://sunucuadresi/OA_HTML/bin/comexweb.cfg
http://sunucuadresi/OA_HTML/bin/pasta.cfg
http://sunucuadresi/OA_HTML/bin/appswebBASECASE.cfg

# Oracle iProcurement System Information
http://sunucuadresi/OA_HTML/jsp/por/util/SystemConfiguration.jsp

# Oracle Application 11i Setup Path
http://sunucuadresi/OA_HTML/env.txt

# Oracle Application Framework Version Information
http://sunucuadresi/OA_HTML/OAInfo.jsp

# Oracle ApplicationManager Log File
http://sunucuadresi/OA_HTML/oam/weboam.log

# Dump Reports To a Designated Directory In The System
http://sunucuadresi/OA_HTML/jsp/fnd/fndversion.jsp
http://sunucuadresi/OA_HTML/jsp/fnd/fndhelp.jsp?dbc=<DATABASEPATH>secure/dbprod2_prod.dbc
http://sunucuadresi/OA_HTML/jsp/fnd/fndhelputil.jsp

# System Memory
http://sunucuadresi/OA_HTML/jsp/por/services/VMSize.jsp

Not: Yukarıda belirtilen ve diğer Oracle Application Server güvenlik açıklarını kontrol etmek için inTellectPRO teknik ekibi tarafından geliştirilen OAPScan aracı kullanılabilir.