В программных "неуязвимых" продуктах Oracle обнаружена куча дыр
07.02.2002 03:25
Британская компания NGSSoftware опубликовала данные об обнаруженных ее сотрудниками дырах в СУБД Oracle, которые называются в рекламе не иначе как "неуязвимые" (unbreakable). Тем не менее, специалистам NGSSoftware удалось обнаружить, по меньшей мере, три уязвимости, используя которые, хакер может нанести серьезный ущерб компании, использующей базы данных Oracle.
Наиболее опасной, по данным NGSSoftware, является уязвимость, названная Oracle Remote Compromise. Она заключается в том, что злоумышленник, работающий через интернет, может подключиться к каналу, по которому передаются данные между базой данных и интерфейсом PL/SQL, и отдавать команды, исполняемые на том же уровне, на котором работает сама СУБД. Для Windows это по умолчанию системный, а для Unix - пользовательский уровень. В любом из этих случаев последствия захвата управления сервером могут быть самыми неприятными. Ситуация усугубляется тем, что программисты Oracle пока не создали нужной заплатки. Администраторам рекомендуется запретить доступ к базам данных из внешних сетей по протоколу TCP, а если это невозможно, то использовать брандмауэры.
Кроме Oracle Remote Compromise в NGSSoftware обнаружили еще две опасные дыры, для которых заплатки уже выпущены. Первая из них касается взаимодействия модуля PL/SQL с веб-сервером Apache и сводится к известной ошибке переполнения буфера, вызвав которое хакер получает контроль над сервером. И, наконец, еще несколько ошибок было обнаружено в реализации технологии динамической генерации веб-страниц JavaServer Pages (JSP). В результате злоумышленник может получить доступ к исходному коду JSP-документов, которые могут содержать важные данные о конфигурации сервера или пароли.
Newsbytes.com
последние новости
30.03.2006 17:49 | Сайтовладелец как козел отпущения...»
30.03.2006 17:21 | Самые дорогие слова в AdWords, «Директе» и «Бегуне»...»
30.03.2006 15:47 | Создатель Jabber работает над системой идентификации контента...»
29.03.2006 18:22 | Google разрабатывает новый интерфейс для поисковика...»
29.03.2006 18:14 | Суточная аудитория рунета увеличилась на 29 процентов...»
29.03.2006 16:16 | Photoshop CS2 на кончиках пальцев. Виртуозная техника...»
29.03.2006 00:24 | Microsoft готовит инструменты для Ajax-программирования...»
29.03.2006 00:06 | AjaxWrite: онлайновый аналог MS Word...»
28.03.2006 23:50 | Этот одноразовый РИФ...»
28.03.2006 23:44 | РИФ 2006, день третий. Удовлетворение синтетических потребностей в убийстве традиционных СМИ...»
28.03.2006 14:05 | «Британника» опровергает сравнение с «Википедией»...»
28.03.2006 12:16 | Adobe не поддержала IntelMac...»
27.03.2006 23:57 | Понравился ли Рунету РИФ-2006?...»
27.03.2006 11:48 | РИФ 2006, день второй. Правильное мнение от Microsoft и мастер-класс по дорвеям. О засланных блоггерах и навязчивых кредитках....»
27.03.2006 11:18 | Статистика: у веб-новостей становится все больше читателей...»
24.03.2006 20:38 | Adobe Fully Loaded — заряд вдохновения для творческих людей!...»
24.03.2006 16:48 | Новый инструмент быстрой проверки знаний в области Интернет-рекламы...»
23.03.2006 21:43 | Mozilla будет платить разработчикам...»
23.03.2006 21:26 | Выходит альфа-версия Firefox 2.0...»
23.03.2006 20:48 | РИФ-2006, день первый. «Яндекс» — продавать, поведенческий таргетинг — исследовать!...»
|
|
