В Oracle Application Server найдено более 20 уязвимостей перед атаками через интернет
17.03.2002 11:15
Computer Emergency Respond Tema (CERT) предупреждает об обнаружении порядка 20 уязвимостей в серверах баз данных Oracle.
Слабые места, найденные Дэвидом Литчфилдом из компании NGSSoftware, включают в себе ошибки при переполнении буфера, опасные установки по умолчанию в конфигурации, ошибки при подтверждении ввода данных. Используя эти дыры, можно выполнять программный код или команды, получать неавторизированный доступ к информации, создавать в системе ситуацию отказа в доступе.
Большая часть выявленных дыр связана с переполнением буфера в модуле PL/SQL, который обрабатывает HTTP-запросы. В CERT говорят, что значительная часть его установок по умолчанию небезопасна, а некоторые компоненты неправильно реализуют права доступа. Две ошибки переполнения буфера существуют в коде, который обрабатывает конфигурационные параметры, задающиеся через http-интерфейс. К тому же администрирование PL/SQL через веб по умолчанию разрешено.
Опасность также исходит со стороны веб-сервера, основанного на Apache HTTP Server. В Windows-системах он по умолчанию имеет свойства "системного" пользователя, что при атаке даст злоумышленнику полный контроль над системой.
В основном найденные уязвимости относятся к Oracle9i Application Server, но опасности подвержены и другие продукты Oracle, использующие уязвимые версии PL/SQL модуля. Это Oracle 9i Database и Oracle 8i Database.
Компания Oracle уже выпустила патчи и инструкции для устранения некоторые из этих уязвимостей. Они могут быть найдены в Oracle Security Alert #28, Oracle Security Alert #25 и на сайте технической поддержки Oracle MetaLink (только для зарегистрированных пользователей).
последние новости
02.01.2007 14:06 | Photoshop CS3: быстрее и богаче возможностями...»
01.01.2007 19:24 | "Кривые" сайты вызывают у людей синдром мышиного бешенства...»
01.01.2007 17:05 | Новый алгоритм Google для борьбы со спамом...»
01.01.2007 16:59 | Corel поддержит и ODF, и Open XML...»
30.12.2006 16:26 | Adobe делится новостями: After Effects & Creative Suite 3.0...»
27.12.2006 21:54 | О выходе версии 8.1 платформы "1С:Предприятие"...»
27.12.2006 20:59 | IE 7 будет проверять безопасность сайтов...»
22.12.2006 18:28 | Поисковая система Codavr.Ru для вебмастеров...»
20.12.2006 20:33 | Из популярных сайтов вычли поп-апы...»
19.12.2006 20:25 | Технология CSS отпраздновала десятилетие...»
19.12.2006 15:31 | Совместная акция PromoSoft и SEO-Study...»
11.12.2006 14:25 | Вышла альфа-версия браузера Firefox 3.0...»
08.12.2006 21:10 | У технологии WebFaces появились первые пользователи...»
06.12.2006 18:14 | MOPOTO: мобильный фото блог...»
06.12.2006 14:36 | Allsoft.ru предоставил новый сервис компании "Вобис Россия"...»
05.12.2006 21:18 | Инвалиды лишены доступа ко многим ведущим web-сайтам...»
05.12.2006 19:48 | Google растит новое поколение интернетчиков...»
04.12.2006 12:50 | Современные технологии usability-тестирования на конференции SEC(R)...»
02.12.2006 21:01 | Webalta предлагает новый сервис...»
01.12.2006 19:19 | Microsoft предлагает новые инструменты для веб-дизайнеров...»
|
|