В программных "неуязвимых" продуктах Oracle обнаружена куча дыр
07.02.2002 03:25
Британская компания NGSSoftware опубликовала данные об обнаруженных ее сотрудниками дырах в СУБД Oracle, которые называются в рекламе не иначе как "неуязвимые" (unbreakable). Тем не менее, специалистам NGSSoftware удалось обнаружить, по меньшей мере, три уязвимости, используя которые, хакер может нанести серьезный ущерб компании, использующей базы данных Oracle.
Наиболее опасной, по данным NGSSoftware, является уязвимость, названная Oracle Remote Compromise. Она заключается в том, что злоумышленник, работающий через интернет, может подключиться к каналу, по которому передаются данные между базой данных и интерфейсом PL/SQL, и отдавать команды, исполняемые на том же уровне, на котором работает сама СУБД. Для Windows это по умолчанию системный, а для Unix - пользовательский уровень. В любом из этих случаев последствия захвата управления сервером могут быть самыми неприятными. Ситуация усугубляется тем, что программисты Oracle пока не создали нужной заплатки. Администраторам рекомендуется запретить доступ к базам данных из внешних сетей по протоколу TCP, а если это невозможно, то использовать брандмауэры.
Кроме Oracle Remote Compromise в NGSSoftware обнаружили еще две опасные дыры, для которых заплатки уже выпущены. Первая из них касается взаимодействия модуля PL/SQL с веб-сервером Apache и сводится к известной ошибке переполнения буфера, вызвав которое хакер получает контроль над сервером. И, наконец, еще несколько ошибок было обнаружено в реализации технологии динамической генерации веб-страниц JavaServer Pages (JSP). В результате злоумышленник может получить доступ к исходному коду JSP-документов, которые могут содержать важные данные о конфигурации сервера или пароли.
Newsbytes.com
последние новости
01.02.2013 15:18 | Интернет и малые предприятия...»
22.01.2013 13:30 | Провал с планшетом от Microsoft...»
27.11.2012 13:14 | Ключ к лучшему софту для вас!...»
22.11.2012 14:39 | Выбор домашнего компьютера...»
16.11.2012 15:17 | Старый знакомый - Dr. Web...»
04.04.2012 13:35 | Как играть в игровые автоматы и как они устроены...»
04.04.2012 13:08 | Интернет-вклады набирают популярность...»
21.03.2007 17:33 | Вышел 3-й номер Юзабилити Бюллетеня...»
16.03.2007 00:16 | Индивидуальное обучение поисковому продвижению...»
15.03.2007 19:16 | Анонс места проведения PHPCONF 2007...»
14.03.2007 17:21 | Спонсоры конференции PHPCONF 2007...»
14.03.2007 00:29 | Аккредитация журналистов на участие в конференции «РИТ-2007» началась ...»
07.03.2007 12:12 | ЦБ обяжет аудиторов раскрывать банковскую тайну ...»
04.03.2007 20:30 | «1С» и «Битрикс» создают совместную компанию «1С–Битрикс»...»
01.03.2007 18:42 | Adobe выпустит Creative Suite 3 в конце марта...»
01.03.2007 17:44 | Oracle намерена приобрести Hyperion Solutions за $3,3 млрд ...»
28.02.2007 17:15 | Google улучшает систему уведомлений веб-мастеров...»
28.02.2007 16:09 | Adobe выпустит средства для редактирования видео в интернете...»
27.02.2007 19:29 | Большие ИТ-компании обещают возможности Web 2.0...»
27.02.2007 16:35 | Page Promoter 7.5: глобальная платформа для анализа, продвижения и управления ресурсом...»
|
|