Oracle случайно проговорилась о дыре в базе данныхГигант СУБД опубликовал не только детали не обнародованной еще уязвимости своего флагманского продукта, но и код для ее тестирования.
Oracle подтвердила факт случайного постинга. "Информация об уязвимости была непреднамеренно опубликована на MetaLink, - сообщил представитель компании. - Мы расследуем причины этой оплошности". Ошибка, о которой идет речь, касается версий 9.1.0.0 - 10.2.0.3 СУБД Oracle для всех операционных систем. В постинге не только говорилось об уязвимости, но и содержался код для ее тестирования, отмечает Корнбраст, который ведет базу данных Red Database Security в Германии и часто охотится на баги в продуктах Oracle. Заметку из MetaLink убрали. Тем не менее проблема засвечена, и теперь информация о баге должна быть обнародована, убежден Корнбраст. "Администраторы и разработчики БД, не заставшие заметку в MetaLink, должны знать об этой уязвимости, чтобы исключить или уменьшить риск до выхода исправления Oracle". Ошибка открывает возможности для повышения привилегий, то есть пользователи базы данных с ограниченными правами могут повысить их уровень. "В зависимости от архитектуры приложения, можно модифицировать данные, для доступа к которым требуются повышенные привилегии - например, поменять пароль баз данных", - пишет Корнбраст. Как следует из рекомендаций FrSIRT, причиной уязвимости служит ошибка в механизме управления определенными "представлениями", созданными непривилегированными пользователями. Аналитики из французской секьюрити-фирмы оценивают степень риска как "умеренную". Oracle еще не выпустила исправление, но в середине апреля должна выйти очередная редакция ее регулярного Critical Patch Update. "В следующем квартальном обновлении Critical Patch Update мы планируем предоставить нашим заказчикам патч, устраняющий эту уязвимость", - рассказал представитель компании, но не смог уточнить, появится ли он на предстоящей неделе. Приобрести продукты Oracle в электронном магазине ITShop О корпорации Oracle
Корпорация Oracle является крупнейшим в мире поставщиком программного обеспечения для управления информацией и второй в мире компанией по поставке программного обеспечения. Имея годовой объем продаж более 9.7 миллиардов долларов США, компания предлагает свои базы данных, серверы приложений, инструментальные средства разработки и готовые приложения, а также услуги в области консалтинга, обучения и поддержки систем более чем в 145 странах во всем мире. СУБД Oracle используют более чем в 750 организациях на территории СНГ и более чем в 520 организациях на территории России. О компании «Интерфейс» (test.interface.ru) Компания «Интерфейс» основана в 1990 году. Сегодня она – один из ведущих российских поставщиков инструментальных средств и решений для создания корпоративных информационных систем, разработки приложений, управления проектами, реинжиниринга деятельности предприятий, OLAP. Поставляет программные продукты и решения компаний Oracle, Computer Associates, IBM, Microsoft, Borland, Embarcadero Technologies, Business Objects, Gupta, ROSS Systems, Sybase, Symantec, Rockwell и других. Успешно ведет проекты по автоматизации предприятий на базе ERP-системы iRenaissanse и системы документооборота DocsVision, содействует подготовке к сертификации по стандартам ISO900x и CMM, оказывает консалтинговые услуги и проводит обучение информационным технологиям. «Интерфейс» входит в TOP100 консалтинговых компаний России (по рейтингу РА «Эксперт»).
Запросить подробную информацию можно по адресу mail@interface.ru. |