Beschränken Sie die Dateitypen, die in Ihre EBS-Anwendung hochgeladen werden

Von:

5. November 2018

Es ist nun etwas mehr als ein Jahr her, seit wirdie Onapsis Security Platform OSP) für die Oracle E-Business Suite (EBS) eingeführt haben. Auf der Onapsis Research Labsuntersuchen wir, genau wie wir es bereits für SAP getan haben, weiterhin neue Module für das Produkt. 

In diesem Blogbeitrag befassen wir uns mit einem Modul, das die Art und Größe der Dateien einschränken kann, die auf EBS hochgeladen werden dürfen. Warum ist das wichtig? Wir müssen bedenken, dass es der Endbenutzer ist, der Dateien in die Datenbank hochlädt, und dass er sich möglicherweise keine Gedanken über die Sicherheit des Systems macht; daher ist es unsere Pflicht, dies so weit wie möglich einzuschränken.

Alle auf EBS hochgeladenen Dateien landen in der Tabelle „FND_LOB“, einer der umfangreichsten und komplexesten EBS-Datenbanktabellen, deren Pflege sehr aufwendig ist. Wenn Dateien ohne Einschränkungen hochgeladen werden dürfen, kommt es zu Leistungseinbußen.

Schauen wir uns an, wie man das Hochladen bestimmter Dateitypen in EBS einschränken kann. Diese Validierung besteht aus zwei Profilen:

Tabelle mit Profilbildern

Das erste Profil„Standardmäßige Einschränkung beim Hochladen von Dateianhängen“ schränkt bei Aktivierung standardmäßig die Verwendung einer Blacklist von Dateiendungen ein, die Windows als „ausführbar“ einstuft, wie z. B. .COM, .EXE, .BA, .CMD, .VBS, .VBE, .JS, .JSE, .WSF, .WSH und .MSC. Dies kann in eineWhitelistmit zulässigen Dateierweiterungen geändert werden, um nur diejenigen zuzulassen, die Sie tatsächlich verwenden. Mit diesem Profil können wir also control , die in den FILE_MIME_TYPES nicht ausdrücklich zugelassen oder untersagt wurden. 

Mögliche Werte für dieses Feld sind„Ja“oder„Nein“. Wenn der Wert auf„Ja“ gesetzt ist, kann ein Dateityp über das Frontend hochgeladen werden, auch wenn er in FILE_MIME_TYPES nicht ausdrücklich zugelassen oder untersagt wurde. Wenn dieser Wert auf„Nein“gesetzt ist, kann der Benutzer keine Dateitypen hochladen, die nicht ausdrücklich in FILE_MIME_TYPES zugelassen wurden.

Wenn ein Benutzer keine Datei hochladen kann, wird ihm folgende Meldung auf dem Bildschirm angezeigt:

eingeschränkter Dateityp

Das zweite Profil„Upload-Dateigrößenbegrenzung“ gibt die maximale Dateigröße an. Dies ist wichtig, da eine sehr große Datei den Betrieb des Anwendungsservers lahmlegen könnte.

Dateigrößenbeschränkung

Wenn Sie überlegen, welche Anhänge Sie zulassen möchten, müssen Sie auch die Einstellungen für die zulässige Größenbeschränkung eines hochgeladenen Anhangs überprüfen – die Profiloption UPLOAD_FILE_SIZE_LIMIT (kb). Ist der Profilwert null, sindAnhänge beliebiger Größe zulässig. Das Risiko dabei besteht darin, dass ein Angreifer einen Denial-of-Service-Angriff ausführen kann.

Wenn das Profil korrekt konfiguriert ist, wird dem Benutzer folgende Warnung angezeigt:

maximale Dateigröße

Im Folgenden sind die Dateitypen aufgeführt, deren Verwendung mit den Standardprofiloptionen eingeschränkt werden sollte:

Liste der eingeschränkten Dateitypen

Wenn Sie die Dateien, die ein Benutzer hochladen darf, nicht ordnungsgemäß einschränken, könnten beliebige gefährliche Dateien, wie beispielsweise ein Ubuntu-Paket, hochgeladen werden – unabhängig davon, ob dies in böswilliger Absicht geschieht oder nicht.

Eingeschränkte Dateitypen bestätigt

Hier ist eine einfache Abfrage, um den Inhalt der Tabelle FND_LOBS zu überprüfen:

SELECT file_id, file_name, upload_date
FROM fnd_lobs
; ORDER BY upload_date DESC;

restrictedfiletypeconfirmd2

So können Sie die Größe unserer Tabelle „FND_LOBS“ anzeigen:

SELECT ROUND(SUM(BYTES)/1024/1024) MB FROM dba_segments WHERE segment_name = 'FND_LOBS';

Eine erforderliche Parallelbedingung, wenn wir diese Tabelle leeren müssen, lautet:

„Veraltete Daten des generischen Dateimanagers löschen.“

In derOracle CPU vom Januar 2012 werden zwei einfache Profile beschrieben, die von großer Bedeutung sind, da eine fehlerhafte Konfiguration nicht nur zum Ausfall des Anwendungsservers führen, sondern auch das Hochladen bösartiger Dateien in die Datenbank ermöglichen kann. Lesen Sie diese CPU daher noch einmal durch, falls Sie sich noch nicht damit befasst haben – eine Überprüfung schadet nie.

  • Sicherheitskonfigurationsmechanismus in der Anhangsfunktion der Oracle E-Business Suite (Doc ID 1357849.1)
  • Wie kann man die Dateigröße von Anhängen begrenzen? (Doc-ID 604458.1)
  • Gibt es eine Dateigrößenbeschränkung für EBS-Anhänge (Doc-ID 739643.1)

Wir werden weiterhin weitere Informationen zur Sicherheit der Oracle E-Business Suite und zu den in der Onapsis Security Platform enthaltenen Modulen veröffentlichen. Erfahren Sie mehr überOSP für EBS, verfolgen Sie unseren Blog undfordern Sie noch heute eine Demo an!

Stichworte, , , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen