В Oracle Application Server найдено более 20 уязвимостей перед атаками через интернет
17.03.2002 11:15
Computer Emergency Respond Tema (CERT) предупреждает об обнаружении порядка 20 уязвимостей в серверах баз данных Oracle.
Слабые места, найденные Дэвидом Литчфилдом из компании NGSSoftware, включают в себе ошибки при переполнении буфера, опасные установки по умолчанию в конфигурации, ошибки при подтверждении ввода данных. Используя эти дыры, можно выполнять программный код или команды, получать неавторизированный доступ к информации, создавать в системе ситуацию отказа в доступе.
Большая часть выявленных дыр связана с переполнением буфера в модуле PL/SQL, который обрабатывает HTTP-запросы. В CERT говорят, что значительная часть его установок по умолчанию небезопасна, а некоторые компоненты неправильно реализуют права доступа. Две ошибки переполнения буфера существуют в коде, который обрабатывает конфигурационные параметры, задающиеся через http-интерфейс. К тому же администрирование PL/SQL через веб по умолчанию разрешено.
Опасность также исходит со стороны веб-сервера, основанного на Apache HTTP Server. В Windows-системах он по умолчанию имеет свойства "системного" пользователя, что при атаке даст злоумышленнику полный контроль над системой.
В основном найденные уязвимости относятся к Oracle9i Application Server, но опасности подвержены и другие продукты Oracle, использующие уязвимые версии PL/SQL модуля. Это Oracle 9i Database и Oracle 8i Database.
Компания Oracle уже выпустила патчи и инструкции для устранения некоторые из этих уязвимостей. Они могут быть найдены в Oracle Security Alert #28, Oracle Security Alert #25 и на сайте технической поддержки Oracle MetaLink (только для зарегистрированных пользователей).
последние новости
26.05.2006 15:14 | Сэр Бернерс-Ли выступил за нейтралитет Сети...»
25.05.2006 20:05 | Семантический веб готов к массовому применению...»
25.05.2006 15:29 | Google займется дизайном веб-страниц...»
25.05.2006 15:15 | Вышла вторая бета-версия браузера Opera 9.0...»
25.05.2006 15:01 | Oracle отдаст интерфейс AJAX сообществу открытого кода...»
25.05.2006 13:57 | Yahoo: шире, легче, релевантнее...»
23.05.2006 21:01 | Новый инструмент позволит создавать AJAX-приложения на Java...»
23.05.2006 20:01 | Названы самые популярные сайты в мире...»
23.05.2006 16:50 | Page Promoter Форум. Ежедневная практика кибермаркетинга...»
20.05.2006 18:15 | Adobe поглощает французскую фирму TTF...»
19.05.2006 20:08 | Объявлены результаты первого российского flash-конкурса...»
19.05.2006 19:49 | Ajax13 готовит Linux-ответ на софтверные сервисы Microsoft...»
19.05.2006 19:31 | Firefox продолжил наступление на Internet Explorer...»
19.05.2006 19:17 | Консорциум Open AJAX определит свое будущее...»
19.05.2006 17:55 | Yahoo изменил дизайн главной страницы...»
18.05.2006 18:28 | Полет плагиатора...»
18.05.2006 17:51 | 23% интернет-пользователей изучает сайты, отключив картинки...»
18.05.2006 17:31 | Открылся онлайновый аукцион для веб-мастеров...»
18.05.2006 12:12 | Веб-сайт как объект графического дизайна...»
17.05.2006 19:38 | Новый инструментарий Adobe упростит разработку интерактивных веб-сайтов...»
|
|