В программных "неуязвимых" продуктах Oracle обнаружена куча дыр
07.02.2002 03:25
Британская компания NGSSoftware опубликовала данные об обнаруженных ее сотрудниками дырах в СУБД Oracle, которые называются в рекламе не иначе как "неуязвимые" (unbreakable). Тем не менее, специалистам NGSSoftware удалось обнаружить, по меньшей мере, три уязвимости, используя которые, хакер может нанести серьезный ущерб компании, использующей базы данных Oracle.
Наиболее опасной, по данным NGSSoftware, является уязвимость, названная Oracle Remote Compromise. Она заключается в том, что злоумышленник, работающий через интернет, может подключиться к каналу, по которому передаются данные между базой данных и интерфейсом PL/SQL, и отдавать команды, исполняемые на том же уровне, на котором работает сама СУБД. Для Windows это по умолчанию системный, а для Unix - пользовательский уровень. В любом из этих случаев последствия захвата управления сервером могут быть самыми неприятными. Ситуация усугубляется тем, что программисты Oracle пока не создали нужной заплатки. Администраторам рекомендуется запретить доступ к базам данных из внешних сетей по протоколу TCP, а если это невозможно, то использовать брандмауэры.
Кроме Oracle Remote Compromise в NGSSoftware обнаружили еще две опасные дыры, для которых заплатки уже выпущены. Первая из них касается взаимодействия модуля PL/SQL с веб-сервером Apache и сводится к известной ошибке переполнения буфера, вызвав которое хакер получает контроль над сервером. И, наконец, еще несколько ошибок было обнаружено в реализации технологии динамической генерации веб-страниц JavaServer Pages (JSP). В результате злоумышленник может получить доступ к исходному коду JSP-документов, которые могут содержать важные данные о конфигурации сервера или пароли.
Newsbytes.com
последние новости
07.02.2002 10:39 | Apple получит Грэмми за технические достижения...»
07.02.2002 10:07 | IBM все еще в поиске...»
07.02.2002 09:34 | Машина времени: теперь и в Рунете...»
07.02.2002 09:34 | Деньги не пахнут. Ebay начал торговать конфискатом. ...»
07.02.2002 08:52 | Топ-менеджеры IT-компаний собрались на профессиональную конференцию...»
07.02.2002 07:42 | Playboy проиграл дело о "ключевых словах"...»
07.02.2002 04:57 | Конкурс хайку: расскажи о своей любви...»
07.02.2002 04:04 | Google объявляет конкурс программистов...»
07.02.2002 03:43 | Еще одна напасть: рекламная брошюра "за 15 минут"...»
07.02.2002 03:26 | В Англии начал свою работу онлайновый суд по финансовым искам ...»
07.02.2002 03:25 | В программных "неуязвимых" продуктах Oracle обнаружена куча дыр...»
07.02.2002 03:11 | IBM, Microsoft и другие крупные компании образовали альянс для стандартизации веб-сервисов...»
07.02.2002 03:02 | Google SearchTool - программа, использующая возможности поисковика Google...»
07.02.2002 02:53 | СПС взял под контроль создание законов для интернетчиков...»
07.02.2002 02:44 | "Рамблер" переехал в Силиконовую слободу...»
07.02.2002 02:37 | DARPA вплотную занялось безопасностью Linux...»
07.02.2002 02:17 | CyberQuest и "Сачок.ру" в середине февраля устраивают чемпионат по сетевым играм...»
07.02.2002 01:27 | Госдума отклонила законопроект о размещение в Интернет списка клиентов всех банков на территории РФ...»
07.02.2002 01:10 | Выставка NET&COM 2002 посвящена мобильным и домашним сетям...»
07.02.2002 00:57 | Телефоны Samsung покажут только питерскому Интернету ...»
|
|