নাড়ি সুরক্ষায় সুরক্ষা গবেষকরা ওরেकल ওয়েবলজিক সার্ভারের মধ্যে একাধিক এসএএমএল ক্ষতিগ্রস্থতা আবিষ্কার করেছেন

ওরাকল

দুটি দুর্বলতার লেবেলযুক্ত CVE-2018-2998 এবং CVE-2018-2933 পালসসিকিউরিটির ডেনিস অ্যান্ডজাকোভিচ আবিষ্কার করেছেন, যা ওরাকল ওয়েবলজিক সার্ভারটি ব্যবহার করে এসএএমএল এবং ডাব্লুএলএস মূল উপাদানগুলি যথাক্রমে সীমিত ডিগ্রীতে ডেটা অ্যাক্সেস এবং সংশোধন করতে।

ওরাকল ওয়েবলজিক এসএএমএল পরিষেবা সরবরাহকারী প্রমাণীকরণ ব্যবস্থার মধ্যে দুটি দুর্বলতা আবিষ্কার করা হয়েছিল। এসএএমএলে একটি এক্সএমএল মন্তব্য সন্নিবেশ করিয়েনাম আইডিট্যাগ, একজন আক্রমণকারী এসএএমএল পরিষেবা সরবরাহকারীকে অন্য ব্যবহারকারী হিসাবে লগ ইন করতে বাধ্য করতে পারে। তদ্ব্যতীত, ওয়েবলজিকের ডিফল্ট কনফিগারেশনে স্বাক্ষরিত এসএএমএল যুক্তির প্রয়োজন হয় না। একটি এসএএমএল উত্সাহ থেকে স্বাক্ষরের অংশগুলি বাদ দিয়ে, একজন আক্রমণকারী একটি নির্বিচারে এসএএমএল দৃser়তা তৈরি করতে পারে এবং প্রমাণীকরণ প্রক্রিয়াটিকে বাইপাস করতে পারে।

ডেনিস অ্যান্ডজাকোভিচ - পালস সুরক্ষা

ওরাকল ফিউশন মিডলওয়্যার 12 সি ওয়েবলজিক সার্ভার v.12.2.1.3.0 এই দুর্বলতার পক্ষে ঝুঁকিরূপে পাওয়া গেছে যদিও অন্য তিনটি সংস্করণ: 10.3.6.0, 12.1.3.0 এবং 12.2.1.2 এরও প্রভাবিত ছিল বলে জানা গেছে।

এ-তে ঝুঁকি মূল্যায়ন ম্যাট্রিক্স ওরাকল দ্বারা প্রকাশিত, সিভিই-2018-2998 দুর্বলতার স্থানীয়ভাবে এসএএমএল উপাদানটি শোষণের জন্য মূল্যায়ন করা হয়েছিল। অনুযায়ী সিভিএসএস সংস্করণ 3.0 , এই দুর্বলতাটিকে 10 এর মধ্যে 5.4 এর বেস স্কোর দেওয়া হয়েছিল, যা সাধারণভাবে হেরফেরের ঝুঁকির কম কারণ হিসাবে মূল্যায়ন করা হয়। একই মূল্যায়নে, সিভিই-2018-2933 দুর্বলতার স্থানীয় সার্ভার ডিভাইস থেকে ডাব্লুএলএস কোর উপাদানগুলি শোষণের জন্য মূল্যায়ন করা হয়েছিল। সম্ভাব্য দশটির মধ্যে দুর্বলতাটিকে 4.9 এর কিছুটা কম বেস স্কোর দেওয়া হয়েছিল 2424480.1 আইডি সহ একটি নথি ওরাকল তার ব্যবহারকারীদের জন্য এই দুর্বলতা প্রশমনের জন্য নির্দেশনা সহ প্রকাশ করেছিল। এই দস্তাবেজটি একবার লগ ইন করার পরে ওরাকল প্রশাসক অ্যাকাউন্টগুলিতে অ্যাক্সেসযোগ্য।

ওরাকল সিকিউরিটি অ্যাসারেন্সেস মার্কআপ ল্যাঙ্গুয়েজ (এসএএমএল) এমন একটি ফ্রেমওয়ার্ক বর্ণনা করে যা একই নেটওয়ার্কের একাধিক ডিভাইস জুড়ে প্রমাণীকরণের তথ্য ভাগ করে নেওয়ার সুবিধার্থে, একটি ডিভাইসকে অন্যটির অংশে কাজ করার অনুমতি দেয়। এটি ব্যবহারকারীদের প্রমাণীকরণ এবং অনুমোদনের অনুমোদন দেয়: তারা শংসাপত্রগুলি বৈধ কিনা এবং তাদের কাছে অনুরোধ করা ক্রিয়াগুলি সম্পাদনের জন্য প্রয়োজনীয় অনুমতি আছে কিনা। প্রায়শই না, এই প্রোটোকলটি ব্যবহারকারীদের জন্য একক সাইন-অন সেটআপ করতে ব্যবহৃত হয় এবং এসএএমএল সরবরাহকারীরা এই শংসাপত্রগুলি বরাদ্দকারী সার্ভার বা প্রশাসক ডিভাইস পরিচালনা করে। একবার অনুমোদিত এবং অনুমোদিত হয়ে গেলে, এক্সএমএলে এসএএমএল দৃ .়তা ব্যবহারকারীর কার্য নির্ধারণের জন্য অনুমতি দেয়। ২০০AM সাল থেকে এসএএমএল ২.০ কম্পিউটারে এই প্রমাণীকরণ এবং অনুমোদনের প্রক্রিয়াটির মান হিসাবে সেট করা হয়েছে এবং এটি তারা তৈরি করা অ্যাপ্লিকেশনগুলিতে ওরাকল ওয়েবলজিক সার্ভারদের দ্বারা নিযুক্ত করা স্ট্যান্ডার্ড।

ওয়েবলোগিক সার্ভারের মূল উপাদানগুলিতে দুর্বলতার সাথে হাত মিলিয়ে কাজ করা, দু'টি দুর্বলতা এই সত্যটির সুযোগ নিতে গিয়ে দেখা গেছে যে ডিফল্টরূপে ওয়েবলজিকের স্বাক্ষরযুক্ত দাবিগুলির প্রয়োজন নেই। দুর্বলতাগুলি প্রমাণ আইডিএল ট্যাগটিতে একটি নির্বিচারে এক্সএমএল মন্তব্য সন্নিবেশ করে প্রমাণীকরণ এবং অনুমোদনের প্রক্রিয়াটিকে হেরফের করেছে সার্ভারটি কেবলমাত্র মন্তব্য অনুযায়ী নিম্নলিখিত স্ট্রিংটি যাচাই করে না করে এসএমএল-এর দাবির স্বাক্ষরকে অকার্যকর করেই সিস্টেমটিকে অন্য ব্যবহারকারীর অ্যাকাউন্টে সাইন করার অনুমতি দেয় cing নিচে.

আক্রমণকারী

প্রশাসক সার্ভার কনফিগারেশন সেটিংসে, যদি সিঙ্গলসাইনঅন সার্ভিসস এমবিয়ান.ওয়ান্টএসারসাইনসাইনড অ্যাট্রিবিউট অক্ষম করা বা প্রয়োজনীয় নয়, ডিফল্ট ক্ষেত্রে হিসাবে, স্বাক্ষরটি যাচাই করা হয় না, এবং পছন্দসই ব্যবহারকারীর হিসাবে কাউকে লগ ইন করার অনুমতি দেওয়ার জন্য প্রমাণীকরণ বাইপাস করা যেতে পারে। সিস্টেম সেটিংস, ডেটা উত্তোলন বা দূষিত সার্ভারগুলিকে ব্যাঘাত করতে সিস্টেমের শক্তিশালী অ্যাকাউন্টগুলি অ্যাক্সেস করতে হ্যাকাররা এই দুর্বলতাটি কাজে লাগাতে পারে। এই ডিফল্ট সেটআপে যার স্বাক্ষর প্রয়োজন হয় না, নিম্নলিখিত কোডটি (পঠনযোগ্যতার জন্য সংক্ষিপ্ত) ভাগ করে নিয়েছে নাড়ি সুরক্ষা একজন হ্যাকার কীভাবে 'অ্যাডমিন' হিসাবে লগ ইন করতে পারে তা প্রদর্শন করে:

রেটেক্টেড রেট্যাক্টেড অ্যাডমিন ডাব্লুএলএস_এসপি কলস: মরূদ: নাম: টিসি: এসএএমএল: ২.০: এসি: ক্লাস: পাসওয়ার্ডপ্রোটেক্টড ট্রান্সপোর্ট

এই দুর্বলতা এবং এর পাশাপাশি যে পূর্ববর্তীটি আবিষ্কার হয়েছিল তার সাথে লড়াই করতে, ওরাকল অনুরোধ করেছে যে ব্যবহারকারীরা জুলাই 2018 ওরাকল ফিউশন মিডলওয়্যারের জন্য সমালোচনামূলক প্যাচ দিয়ে তাদের পণ্যটির সংশ্লিষ্ট ওরাকল উপাদানটি আপডেট করুন।