CVE-2020-14864

Oracle Intelligence Enterprise Edition

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-01-18

Официальное описание

Path traversal vulnerability, where an attacker can target the preview FilePath parameter of the getPreviewImage function to get access to arbitrary system file.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость типа Path Traversal (CVE-2020-14864) в Oracle Business Intelligence Enterprise Edition (OBIEE) позволяет атакующему получить несанкционированный доступ к произвольным файлам на сервере.

  • Атакующий отправляет специально сформированный HTTP-запрос к функции getPreviewImage.
  • В параметре FilePath используется последовательность символов ../ (Directory Traversal) для выхода за пределы предполагаемого каталога.
  • В результате злоумышленник может прочитать любой файл в файловой системе, к которому есть доступ у учетной записи, под которой работает сервис OBIEE (например, /etc/passwd, файлы конфигурации, файлы с ключами).

Как исправить

Установите официальный патч от Oracle. Уязвимость исправлена в Critical Patch Update (CPU) за октябрь 2020 года.

  1. Определите свою версию OBIEE. Например, 12.2.1.3.0 или 12.2.1.4.0.
  2. Скачайте и установите соответствующий патч с портала поддержки Oracle (My Oracle Support). Для примера, для версии 12.2.1.3.0 это может быть патч 31673114.
  3. Процедура установки (общий вид):
    • Остановите все сервисы OBIEE (Managed Server, Admin Server, системные службы).
    • Создайте резервную копию текущей установки.
    • Примените патч с помощью opatch: bash cd <PATCH_DIRECTORY> opatch apply
    • Запустите сервисы OBIEE.
  4. Для Windows-систем обновление также происходит через установку патча от Oracle (файл .zip), а не через Центр обновления Windows (KB). Процедура аналогична: остановка служб, применение патча, перезапуск.

Важно: Всегда проверяйте точный номер необходимого патча для вашей минорной версии и платформы в Примечаниях к критическому патчу Oracle за октябрь 2020.

Временное решение

Если немедленная установка патча невозможна, примите следующие меры:

  1. Настройте правила в WAF (Web Application Firewall):

    • Блокируйте HTTP-запросы к пути, содержащему функцию getPreviewImage.
    • Блокируйте запросы, содержащие в параметрах последовательности ../, ..\, %2e%2e%2f или их вариации.

    Пример правила для ModSecurity: apache SecRule REQUEST_URI "@contains getPreviewImage" \ "id:1001,\ phase:1,\ deny,\ status:403,\ msg:'Blocking access to vulnerable endpoint'" SecRule ARGS_NAMES "@contains FilePath" \ "id:1002,\ phase:2,\ t:urlDecode,\ block,\ msg:'Path Traversal attempt in FilePath parameter'"

  2. Ограничьте сетевой доступ:

    • Настройте групповые политики (GPO) или локальные брандмауэры (iptables, firewalld) так, чтобы к интерфейсу управления OBIEE (порты по умолчанию, например, 9500-9514, 9704) был доступ только с доверенных административных подсетей.

    Пример для iptables (Linux): bash iptables -A INPUT -p tcp --dport 9500:9514 -s 10.0.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 9500:9514 -j DROP

  3. Минимизируйте привилегии: Убедитесь, что операционная система и сервис OBIEE работают от имени пользователя с минимально необходимыми правами на чтение/запись файлов. Это ограничит ущерб в случае успешной атаки.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей