WWW.ZDNET.RU | 17.05.06 |
Опубликовав информацию о 39 уязвимостях в своих продуктах, Oracle обещает исправления в ближайшие недели.
Во вторник Oracle, в рамках своего квартального цикла выпуска исправлений, предложила заплатки для длинного перечня пробелов в защите многих своих продуктов. Critical Patch Update содержит патчи для 14 уязвимостей, связанных с продуктами Oracle Database, пяти, относящихся к Collaboration Suite, одной — в Application Server, 15 — в E-Business Suite and Applications, двух — в Enterprise Manager, одной — в корпоративном портале от PeopleSoft, и еще одной — в ПО JD Edwards.
Кроме секьюрити-патчей, Oracle внесла "значительные" изменения в инструмент контроля за учетными записями и паролями по умолчанию. Он вышел в январе в ответ на появление червя баз данных Oracle voyager, который использует эти параметры по умолчанию.
"Несколько из перечисленных уязвимостей опасны, и их следует устранить как можно скорее, — пишет в предупреждении для пользователей своей аналитической службы DeepSight поставщик ПО безопасности Symantec. — Oracle не предлагает никаких обходных решений для этих проблем".
В этом квартале число исправлений меньше, чем в предыдущие кварталы, отмечает эксперт по безопасности Пит Финниган (Pete Finnigan). Oracle сообщает мало подробностей, но Финниган заметил, что большинство багов СУБД относится к механизму присвоения имен некондиционным пакетам.
Он отмечает также, что хотя Oracle выпустила свой бюллетень, поправки для всех продуктов на всех операционных системах появятся только после 1 мая. "По-моему, нехорошо, что Oracle выпускает рекомендации, советуя заказчикам исправить свои базы данных, но многим из них придется подождать, — пишет Финниган. — Это уже не ежеквартальный план исправлений, если сами исправления задерживаются".
Производителя корпоративного ПО критикуют за медленное исправление ошибок и за отказ сотрудничать с нашедшими их экспертами. Директор по безопасности Oracle Мэри-Энн Дэвидсон говорит на это, что с точки зрения безопасности продуктов, охотники за багами сами могут стать проблемой.
В своем бюллетене компания выражает благодарность ряду исследователей, сообщивших об уязвимостях. В их числе Александр Корнбраст (Alexander Kornbrust ) из Red Database Security, Стефан Мартинес Файо (Esteban Martinez Fayo) из Application Security и Дэвид Личфилд (David Litchfield) из Next Generation Security Software, который сообщил об уязвимостях, найденных им в Oracle Database, в постинге в список почтовой рассылки Full Disclosure.
Обратиться в Interface Ltd. за дополнительной информацией/по вопросу приобретения продуктов
INTERFACE Ltd. |
|