|
 Все новости от 27 апреля 2006 г.
Исправленная СУБД Oracle все равно остается уязвимой
Последнее исправление базы данных не устранило ошибку, для использования которой уже есть опубликованный эксплойт.
На прошлой неделе производитель бизнес-ПО выпустил свой ежеквартальный набор патчей Critical Patch Update, исправляющий более 30 ошибок в программном обеспечении Oracle. Однако обновление для Oracle 10g Release 2 не устранило уязвимость, которую использует опубликованный вредоносный код, утверждает в списке рассылки Full Disclosure эксперт из Next Generation Security Software Дэвид Литчфилд.
Эксплойт, обнародованный в Интернете на прошлой неделе, рассчитан не на одну из исправленных Oracle ошибок, как это считалось вначале, а использует нерешенную проблему.
Благодаря неустраненной уязвимости в модуле экспорта СУБД — компоненте, которая уже неоднократно становилась источником проблем безопасности, — злоумышленники по-прежнему могут получить более высокие привилегии в системе, утверждает Литчфилд.
Компания Symantec отмечает в предупреждении для пользователей своей службы DeepSight, что проблема может проявляться и в других версиях 10g.
«Мы настоятельно рекомендуем администраторам запретить общий доступ к модулю экспорта СУБД до появления адекватного исправления от поставщика, решающего эту проблему», — говорится в рекомендации.
Комментарии Oracle получить не удалось.
Литчфилд подчеркнул, что Oracle было сообщено об этой уязвимости еще 19 февраля.
Он описывает другие проблемы, связанные с тем же модулем, которые, по его словам, Oracle пыталась решить с момента первого обращения Литчфилда к компании в апреле 2004 года, но так и не смогла.
Эксперты по безопасности критикуют Oracle за медлительность при выпуске патчей и за отказ тесно сотрудничать с ними с целью устранения уязвимостей. В ответ директор по безопасности Мэри-Энн Дэвидсон сказала, что иногда исследователи сами становятся препятствием к созданию безопасного продукта.
 Предыдущие публикации:
В продолжение темы:
| 
