发布日期：2005-07-20
更新日期：2005-07-20

受影响系统：

Oracle Forms 9i
Oracle Forms 6i
Oracle Forms 6.0
Oracle Forms 5.0
Oracle Forms 4.5
Oracle Forms 10g

描述：

---

BUGTRAQ  ID: 14319

Oracle是一款大型的商业数据库系统，Oracle Forms是其中一个组件。

Oracle Forms Services启动应用服务器上任何目录和任何用户的表单可执行程序（*.fmx）。

能够向应用服务器上传特制表单可执行程序的攻击者可以运行任意OS命令，完全控制应用服务器。

<*来源：Alexander Kornbrust （ak@red-database-security.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=112180805413784&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

1. 创建或修改简单的表单模块，添加以下命令：

"WHEN_NEW_FORM_INSTANCE"-Trigger Host('ls > forms_is_unsecure.txt' , NO_SCREEN);

2. 生成目标平台的表单可执行程序，如hacker.fmx。

3. 通过SMB、文件上传、Webdav、Samba、NFS、Webutil、FTP等将表单可执行程序hacker.fmx拷贝到Oracle Application Server上的目录中。

4. 以Oracle用户运行hacker.fmx并为表单可执行程序指定绝对路径：

http://myserver.com:7779/forms90/f90servlet?form=/public/johndoe/hacker.fmx
或
http://myserver.com:7779/forms90/f90servlet?module=/tmp/hacker.fmx

5. 这样就可以以Oracle用户（Unix）或系统用户（Windows）权限执行主机命令。

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* Oracle Forms 10g临时解决方案

在配置文件formsweb.cfg中使用restrictedURL参数：

[myFormsApp1]
form=....
restrictedURLparams=form,module

* Oracle Forms 6i/9i或10g临时解决方案

不允许用户通过SMB、Webdav、SAMBA、FTP等向应用服务器上传内容，或使用URLRewrite阻断有模块或表单参数和绝对或相对路径的URL。阻断以下字符串：

"form=.."、"module=.."、"form=/"、"module=/"、"form=c:\"、"module=c:\"、"form=d:\" ...

厂商补丁：

Oracle
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.oracle.com

浏览次数：3400
严重程度：0（网友投票）