Показано с 1 по 1 из 1.

Oracle случайно проговорилась о дыре в базе данных

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636

    Oracle случайно проговорилась о дыре в базе данных

    Oracle случайно проговорилась о дыре в базе данных
    Джорис Эверз (Joris Evers), CNET News.com

    Гигант СУБД опубликовал не только детали не обнародованной еще уязвимости своего флагманского продукта, но и код для ее тестирования.

    На прошлой неделе Oracle случайно разгласила сведения об опасной ошибке, которая еще не исправлена. Обычно компания держит проблемы безопасности в секрете и критикует тех исследователей, которые публично обсуждают ошибки в продуктах Oracle. Но 6 апреля на своем веб-сайте для заказчиков, под названием MetaLink, она сама опубликовала заметку с подробностями о неисправленной ошибке – об этом сообщил в понедельник независимый эксперт по безопасности, специализирующийся на продуктах Oracle, Александр Корнбраст (Alexander Kornbrust).

    Oracle подтвердила факт случайного постинга. «Информация об уязвимости была непреднамеренно опубликована на MetaLink, — сообщил представитель компании. — Мы расследуем причины этой оплошности».

    Ошибка, о которой идет речь, касается версий 9.1.0.0 - 10.2.0.3 СУБД Oracle для всех операционных систем. В постинге не только говорилось об уязвимости, но и содержался код для ее тестирования, отмечает Корнбраст, который ведет базу данных Red Database Security в Германии и часто охотится на баги в продуктах Oracle.

    Заметку из MetaLink убрали. Тем не менее проблема засвечена, и теперь информация о баге должна быть обнародована, убежден Корнбраст. «Администраторы и разработчики БД, не заставшие заметку в MetaLink, должны знать об этой уязвимости, чтобы исключить или уменьшить риск до выхода исправления Oracle».

    Ошибка открывает возможности для повышения привилегий, то есть пользователи базы данных с ограниченными правами могут повысить их уровень. «В зависимости от архитектуры приложения, можно модифицировать данные, для доступа к которым требуются повышенные привилегии — например, поменять пароль баз данных», — пишет Корнбраст.

    Как следует из рекомендаций FrSIRT, причиной уязвимости служит ошибка в механизме управления определенными «представлениями», созданными непривилегированными пользователями. Аналитики из французской секьюрити-фирмы оценивают степень риска как «умеренную».

    Oracle еще не выпустила исправление, но во вторник должна выйти очередная редакция ее регулярного Critical Patch Update. «В следующем квартальном обновлении Critical Patch Update мы планируем предоставить нашим заказчикам патч, устраняющий эту уязвимость», — рассказал представитель компании, но не смог уточнить, появится ли он на предстоящей неделе.

    Источник: zdnet.ru

  2. Реклама
     

Похожие темы

  1. Ответов: 3
    Последнее сообщение: 06.02.2010, 09:53
  2. Ответов: 0
    Последнее сообщение: 28.03.2008, 22:18
  3. Google открыла доступ к служебной базе данных YouTube
    От wise-wistful в разделе Новости интернет-пространства
    Ответов: 0
    Последнее сообщение: 12.03.2008, 21:21
  4. Обнаружены уязвимости в европейской базе данных об иммигрантах
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 16.11.2007, 14:14
  5. Ответов: 0
    Последнее сообщение: 12.11.2007, 10:36

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01340 seconds with 18 queries