В программных "неуязвимых" продуктах Oracle обнаружена куча дыр
07.02.2002 03:25
Британская компания NGSSoftware опубликовала данные об обнаруженных ее сотрудниками дырах в СУБД Oracle, которые называются в рекламе не иначе как "неуязвимые" (unbreakable). Тем не менее, специалистам NGSSoftware удалось обнаружить, по меньшей мере, три уязвимости, используя которые, хакер может нанести серьезный ущерб компании, использующей базы данных Oracle.
Наиболее опасной, по данным NGSSoftware, является уязвимость, названная Oracle Remote Compromise. Она заключается в том, что злоумышленник, работающий через интернет, может подключиться к каналу, по которому передаются данные между базой данных и интерфейсом PL/SQL, и отдавать команды, исполняемые на том же уровне, на котором работает сама СУБД. Для Windows это по умолчанию системный, а для Unix - пользовательский уровень. В любом из этих случаев последствия захвата управления сервером могут быть самыми неприятными. Ситуация усугубляется тем, что программисты Oracle пока не создали нужной заплатки. Администраторам рекомендуется запретить доступ к базам данных из внешних сетей по протоколу TCP, а если это невозможно, то использовать брандмауэры.
Кроме Oracle Remote Compromise в NGSSoftware обнаружили еще две опасные дыры, для которых заплатки уже выпущены. Первая из них касается взаимодействия модуля PL/SQL с веб-сервером Apache и сводится к известной ошибке переполнения буфера, вызвав которое хакер получает контроль над сервером. И, наконец, еще несколько ошибок было обнаружено в реализации технологии динамической генерации веб-страниц JavaServer Pages (JSP). В результате злоумышленник может получить доступ к исходному коду JSP-документов, которые могут содержать важные данные о конфигурации сервера или пароли.
Newsbytes.com
последние новости
07.02.2002 03:25 | В программных "неуязвимых" продуктах Oracle обнаружена куча дыр...»
07.02.2002 03:11 | IBM, Microsoft и другие крупные компании образовали альянс для стандартизации веб-сервисов...»
07.02.2002 03:02 | Google SearchTool - программа, использующая возможности поисковика Google...»
07.02.2002 02:53 | СПС взял под контроль создание законов для интернетчиков...»
07.02.2002 02:44 | "Рамблер" переехал в Силиконовую слободу...»
07.02.2002 02:37 | DARPA вплотную занялось безопасностью Linux...»
07.02.2002 02:17 | CyberQuest и "Сачок.ру" в середине февраля устраивают чемпионат по сетевым играм...»
07.02.2002 01:27 | Госдума отклонила законопроект о размещение в Интернет списка клиентов всех банков на территории РФ...»
07.02.2002 01:10 | Выставка NET&COM 2002 посвящена мобильным и домашним сетям...»
07.02.2002 00:57 | Телефоны Samsung покажут только питерскому Интернету ...»
06.02.2002 18:02 | Flash идет на телевидение...»
06.02.2002 17:59 | Интернет-агентство GRADI WEB проводит праздничную рекламную кампанию...»
06.02.2002 17:26 | Dot разработал интернет-систему закупок для Procter & Gamble...»
06.02.2002 17:18 | Macromedia в ударе. Выпущена бета-версия Flash Player 6...»
06.02.2002 16:10 | Информационная акция "Выбор системы управления сайтом"...»
06.02.2002 15:53 | В Интернете началась прямая трансляция "Технологии безопасности"...»
06.02.2002 15:28 | On-line-конкурс на лучшую телогрейку...»
06.02.2002 15:10 | Программа-архиватор узнает Шекспира...»
06.02.2002 14:45 | Для Adaytum 2001 год оказался самым успешным...»
06.02.2002 14:06 | Сжатой музыке — сжатые диски...»
|
|
