Oracle опубликовала эксплойт для уязвимости в своем продукте

В компании Oracle по ошибке опубликовали детали эксплойта для уязвимости в собственном приложении баз данных. Уязвимость была обнаружена специалистами по безопасности немецкой компании Red-Database-Security. Спустя некоторое время, детали уязвимости были опубликованы на портале поддержки пользователей продуктов Oracle - Metalink. Однако на следующий день обнаружилось, что опубликованные детали содержат "интересные для хакеров подробности", и информация была удалена с портала.

Наличие уязвимости, было установлено в базах данных Oracle Database 9i и Oracle Database 10g (9.2.0.0 to 10.2.0.3 версии) для любых операционных систем. Для ее эксплуатации злоумышленнику необходимо завести аккаунт в базе данных, что исключает возможность вторжения через интернет. Создавая специальные запросы, злоумышленник может не только просмотреть защищённые данные, но и изменить их. Компания собрается выпустить патч для этой "дыры" в следующем ежеквартальном наборе "заплаток" Critical Patch Update, который выйдет 18 апреля, сообщает Infoworld.

В Red-Database-Security уже опубликовали ряд способов решения проблемы. В эффективности готовящихся вендором апрельских патчей в компании сомневаются.

По иронии, источником эксплойта, стала сама Oracle, за что, естественно подверглась критике со стороны экспертов по безопасности. Компания, однако, не прокомментировала утечку информации, которая может быть использована в злонамеренных целях. По мнению бизнес-директора Red-Database-Security Александра Корнбруста, это связано с ошибкой в службе поддержки пользователей Oracle. Корнбраст саркастически добавил, что "парень, опубликовавший такие подробности, несомненно, руководствовался самыми благими побуждениями".

Источник: Компьюлента



Опубликовал admin
13 Апр, Четверг 2006г.



Программирование для чайников.