В Oracle Application Server найдено более 20 уязвимостей перед атаками через интернет
17.03.2002 11:15
Computer Emergency Respond Tema (CERT) предупреждает об обнаружении порядка 20 уязвимостей в серверах баз данных Oracle.
Слабые места, найденные Дэвидом Литчфилдом из компании NGSSoftware, включают в себе ошибки при переполнении буфера, опасные установки по умолчанию в конфигурации, ошибки при подтверждении ввода данных. Используя эти дыры, можно выполнять программный код или команды, получать неавторизированный доступ к информации, создавать в системе ситуацию отказа в доступе.
Большая часть выявленных дыр связана с переполнением буфера в модуле PL/SQL, который обрабатывает HTTP-запросы. В CERT говорят, что значительная часть его установок по умолчанию небезопасна, а некоторые компоненты неправильно реализуют права доступа. Две ошибки переполнения буфера существуют в коде, который обрабатывает конфигурационные параметры, задающиеся через http-интерфейс. К тому же администрирование PL/SQL через веб по умолчанию разрешено.
Опасность также исходит со стороны веб-сервера, основанного на Apache HTTP Server. В Windows-системах он по умолчанию имеет свойства "системного" пользователя, что при атаке даст злоумышленнику полный контроль над системой.
В основном найденные уязвимости относятся к Oracle9i Application Server, но опасности подвержены и другие продукты Oracle, использующие уязвимые версии PL/SQL модуля. Это Oracle 9i Database и Oracle 8i Database.
Компания Oracle уже выпустила патчи и инструкции для устранения некоторые из этих уязвимостей. Они могут быть найдены в Oracle Security Alert #28, Oracle Security Alert #25 и на сайте технической поддержки Oracle MetaLink (только для зарегистрированных пользователей).
последние новости
01.02.2013 15:18 | Интернет и малые предприятия...»
22.01.2013 13:30 | Провал с планшетом от Microsoft...»
27.11.2012 13:14 | Ключ к лучшему софту для вас!...»
22.11.2012 14:39 | Выбор домашнего компьютера...»
16.11.2012 15:17 | Старый знакомый - Dr. Web...»
04.04.2012 13:35 | Как играть в игровые автоматы и как они устроены...»
04.04.2012 13:08 | Интернет-вклады набирают популярность...»
21.03.2007 17:33 | Вышел 3-й номер Юзабилити Бюллетеня...»
16.03.2007 00:16 | Индивидуальное обучение поисковому продвижению...»
15.03.2007 19:16 | Анонс места проведения PHPCONF 2007...»
14.03.2007 17:21 | Спонсоры конференции PHPCONF 2007...»
14.03.2007 00:29 | Аккредитация журналистов на участие в конференции «РИТ-2007» началась ...»
07.03.2007 12:12 | ЦБ обяжет аудиторов раскрывать банковскую тайну ...»
04.03.2007 20:30 | «1С» и «Битрикс» создают совместную компанию «1С–Битрикс»...»
01.03.2007 18:42 | Adobe выпустит Creative Suite 3 в конце марта...»
01.03.2007 17:44 | Oracle намерена приобрести Hyperion Solutions за $3,3 млрд ...»
28.02.2007 17:15 | Google улучшает систему уведомлений веб-мастеров...»
28.02.2007 16:09 | Adobe выпустит средства для редактирования видео в интернете...»
27.02.2007 19:29 | Большие ИТ-компании обещают возможности Web 2.0...»
27.02.2007 16:35 | Page Promoter 7.5: глобальная платформа для анализа, продвижения и управления ресурсом...»
|
|