В программных "неуязвимых" продуктах Oracle обнаружена куча дыр
07.02.2002 03:25
Британская компания NGSSoftware опубликовала данные об обнаруженных ее сотрудниками дырах в СУБД Oracle, которые называются в рекламе не иначе как "неуязвимые" (unbreakable). Тем не менее, специалистам NGSSoftware удалось обнаружить, по меньшей мере, три уязвимости, используя которые, хакер может нанести серьезный ущерб компании, использующей базы данных Oracle.
Наиболее опасной, по данным NGSSoftware, является уязвимость, названная Oracle Remote Compromise. Она заключается в том, что злоумышленник, работающий через интернет, может подключиться к каналу, по которому передаются данные между базой данных и интерфейсом PL/SQL, и отдавать команды, исполняемые на том же уровне, на котором работает сама СУБД. Для Windows это по умолчанию системный, а для Unix - пользовательский уровень. В любом из этих случаев последствия захвата управления сервером могут быть самыми неприятными. Ситуация усугубляется тем, что программисты Oracle пока не создали нужной заплатки. Администраторам рекомендуется запретить доступ к базам данных из внешних сетей по протоколу TCP, а если это невозможно, то использовать брандмауэры.
Кроме Oracle Remote Compromise в NGSSoftware обнаружили еще две опасные дыры, для которых заплатки уже выпущены. Первая из них касается взаимодействия модуля PL/SQL с веб-сервером Apache и сводится к известной ошибке переполнения буфера, вызвав которое хакер получает контроль над сервером. И, наконец, еще несколько ошибок было обнаружено в реализации технологии динамической генерации веб-страниц JavaServer Pages (JSP). В результате злоумышленник может получить доступ к исходному коду JSP-документов, которые могут содержать важные данные о конфигурации сервера или пароли.
Newsbytes.com
последние новости
13.10.2006 21:31 | Создание веб-приложений станет доступно для «чайников»...»
13.10.2006 19:07 | CMS для маркетинга...»
13.10.2006 16:53 | Сжатие контента ускоряет Web-приложения...»
13.10.2006 13:20 | Десять уязвимостей Web 2.0...»
12.10.2006 16:38 | Adobe выпустила пакет Contribute 4...»
12.10.2006 10:31 | Яндекс проводит седьмой Открытый Кубок Росcии по поиску в интернете...»
11.10.2006 20:07 | "Артон консалтинг" проводит практический семинар "Эффективная реклама в Интернете"...»
11.10.2006 17:48 | Выпущен новый релиз CMS WebDirector 2.2...»
11.10.2006 13:26 | Генри Дженкинс о рекламе и виртуальных играх. Second Life, как Burning Man...»
10.10.2006 20:33 | Вышел второй релиз-кандидат Firefox 2.0...»
10.10.2006 20:20 | Конференция "Право и интернет" открылась в Сети...»
10.10.2006 19:30 | Веб-сайты стали самыми востребованными в США рекламными носителями...»
10.10.2006 17:47 | Реклама на три буквы: WWW...»
10.10.2006 17:12 | Morae - Программное обеспечение для usability тестирования...»
10.10.2006 16:02 | Не сайтом единым: Яндекс.Директ показывает адреса и телефоны...»
10.10.2006 13:15 | Allsoft.ru заключил договор о сотрудничестве с компанией "Территория ИТ"...»
09.10.2006 20:07 | Nokia предложит Web 2.0 для мобильников...»
09.10.2006 19:47 | OpenAJAX Alliance обеспечит совместимость реализаций AJAX...»
09.10.2006 15:11 | Семинар по юзабилити RusCHI № 12...»
06.10.2006 19:14 | Google открыла сайт для тестирования поисковых технологий...»
|
|
