Компания Oracle
предупредила своих клиентов об обнаружении
дыр в системе безопасности ПО Oracle 9i Database Server.
Выпущен патч и предупреждение по
безопасности, призванные скорректировать
ошибки переполенния буфера в компоненте XML
Database в Oracle9i. Этот компонент позволяет
пользователям делать запросы к базе данных
Oracle, возвращаемые в формате XML.
Уязвимости подвержен Oracle 9i Database Server Release 2,
пользователи выпуска 1 или более ранних
версий 9i Database Server находятся вне опасности.
"Знающий и злонамеренный"
пользователь Oracle может воспользоваться
уязвимостью для осуществления DoS-атаки,
которая может привести к нарушению
выполняемых Database Server действий или
захватить контроль над пользовательской
сессией на сервере. На некоторых ОС, в
частности, Microsoft Windows, подобная атака может
закончиться захватом полного контроля над
машиной, на которой запущен сервер баз
данных.
Как отмечают в Oracle, вероятность атаки
извне, используя эту уязвимость, крайне
мала, поскольку для этого Database Server должен
быть доступен для внешних пользователей
напрямую, без фаейрволов или промежуточных
серверов. Главная опасность атаки исходит
из самих корпоративных интранет-сетей.
Специалисты советуют как можно скорее
установить соответствующий патч для
ликвидации уязвимости. При этом не
требуется никаких подготовительных
действий для его установки.
