Oracle Applications E-Business Suite 11i  Bilgi Açığa Çıkarma Güvenlik Açıkları

Tarih:
4 Haziran 2007 Açıklama
19 Nisan 2007 Tespit Edilme

Özet:
Oracle E-Business 11i ilk kurulumu sonrası web üzerinden erişilebilen ve sistem hakkında değişik
bilgiler yayınladığı görülen web sayfaları içerdiği tespit edilmiştir.Elde edilen bilgiler ileride gerçek-
leştirilebilecek saldırılarda referans olarak kullanılabilecek niteliktedirler.

Etkilenen Sürüm:
Oracle Applications E-Bussiness Suite 11i

Etki Alanı:
Uzaktan Erişim

Risk Seviyesi:
Düşük / Orta

Çözüm:
Söz konusu açıklar ile ilgili olarak üretici firma ile 19 Nisan 2007 tarihinde bağlantıya geçilmiş olmasına rağmen çözüm ile ilgili herhangi bir duyuru yapılmamıştır. Geçici çözüm olarak belirtilen dosyalara erişimlerin kısıtlanması düşünülebilir.
 Aşağıda bu web sayfaları ile ilgili detaylı bilgiler yer almaktadır.

# Oracle Application Web CGI Configuration File
http://server/OA_HTML/bin/appsweb.cfg
http://server/OA_HTML/bin/appsweb_PROD.cfg
http://server/OA_HTML/bin/comexweb.cfg
http://server/OA_HTML/bin/pasta.cfg
http://server/OA_HTML/bin/appswebBASECASE.cfg

# Oracle iProcurement System Information
http://server/OA_HTML/jsp/por/util/SystemConfiguration.jsp

# Oracle Application 11i Setup Path
http://server/OA_HTML/env.txt

# Oracle Application Framework Version Information
http://server/OA_HTML/OAInfo.jsp

# Oracle ApplicationManager Log File
http://server/OA_HTML/oam/weboam.log

# Dump Reports To a Designated Directory In The System
http://server/OA_HTML/jsp/fnd/fndversion.jsp
http://server/OA_HTML/jsp/fnd/fndhelp.jsp?dbc=<DATABASE PATH>secure/dbprod2_prod.dbc
http://server/OA_HTML/jsp/fnd/fndhelputil.jsp

# System Memory
http://server/OA_HTML/jsp/por/services/VMSize.jsp

Araçlar: Yukarıda belirtilen ve diğer Oracle Application Server güvenlik açıklarını kontrol etmek için inTellectPRO tarafından geliştirilen ve aşağıdaki linkte sunlan güvenlik açığı tarama aracı kullanılabilir.

http://support.intellect.com.tr/downloads/OAPScan.tar.gz