В мире технологий
14-05-2006 20:00
Разработчики Linux добавляют в ядро ОС новые ошибки быстрее, чем их удается устранять
14-05-2006 20:00
Абоненты «Билайн» под защитой "Лаборатории Касперского"
13-05-2006 20:00
BSA назначила хорошую награду за донос на собственного босса
13-05-2006 20:00
Самый тонкий в мире мобильник
10-05-2006 20:00
В интернет-пейджере ICQ найдена уязвимость
10-05-2006 20:00
Google представила три новых онлайновых сервиса
10-05-2006 20:00
Nintendo Wii получит браузер Opera
05-05-2006 20:00
Borland сокращает штат сотрудников
05-05-2006 20:00
Microsoft рассказала о технологиях будущего
05-05-2006 20:00
Корейцы создали андроида женского пола
05-05-2006 20:00
Новый троян завлекает планом игр чемпионата по футболу
28-04-2006 20:00
Пользователей Mozilla призывают к апгрейду
28-04-2006 20:00
Компания Sophos представляет новейшую версию списка "грязной дюжины" стран – распространителей спама
25-04-2006 20:00
Microsoft выносит антипиратский инструмент на десктоп
23-04-2006 20:00
Microsoft Visual Studio 2005 Express Edition
20-04-2006 20:00
Выпущены новые версии "Антивируса Касперского" и Kaspersky Internet Security
20-04-2006 20:00
Линус Торвальдс сделал ядро Linux совместимым с вирусом
18-04-2006 20:00
Oracle, возможно, выпустит собственный вариант Linux
12-04-2006 20:00
Проблемы безопасности в устройствах Cisco
12-04-2006 20:00
Oracle случайно проговорилась о дыре в базе данных
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
Сообщение
12-04-2006 20:00
Автор: Dusk
Oracle случайно проговорилась о дыре в базе данных
Гигант СУБД опубликовал не только детали не обнародованной еще уязвимости своего флагманского продукта, но и код для ее тестирования


На прошлой неделе Oracle случайно разгласила сведения об опасной ошибке, которая еще не исправлена. Обычно компания держит проблемы безопасности в секрете и критикует тех исследователей, которые публично обсуждают ошибки в продуктах Oracle. Но 6 апреля на своем веб-сайте для заказчиков, под названием MetaLink, она сама опубликовала заметку с подробностями о неисправленной ошибке – об этом сообщил в понедельник независимый эксперт по безопасности, специализирующийся на продуктах Oracle, Александр Корнбраст (Alexander Kornbrust).

Oracle подтвердила факт случайного постинга. «Информация об уязвимости была непреднамеренно опубликована на MetaLink, — сообщил представитель компании. — Мы расследуем причины этой оплошности».

Ошибка, о которой идет речь, касается версий 9.1.0.0 - 10.2.0.3 СУБД Oracle для всех операционных систем. В постинге не только говорилось об уязвимости, но и содержался код для ее тестирования, отмечает Корнбраст, который ведет базу данных Red Database Security в Германии и часто охотится на баги в продуктах Oracle.

Заметку из MetaLink убрали. Тем не менее проблема засвечена, и теперь информация о баге должна быть обнародована, убежден Корнбраст. «Администраторы и разработчики БД, не заставшие заметку в MetaLink, должны знать об этой уязвимости, чтобы исключить или уменьшить риск до выхода исправления Oracle».

Ошибка открывает возможности для повышения привилегий, то есть пользователи базы данных с ограниченными правами могут повысить их уровень. «В зависимости от архитектуры приложения, можно модифицировать данные, для доступа к которым требуются повышенные привилегии — например, поменять пароль баз данных», — пишет Корнбраст.

Как следует из рекомендаций FrSIRT, причиной уязвимости служит ошибка в механизме управления определенными «представлениями», созданными непривилегированными пользователями. Аналитики из французской секьюрити-фирмы оценивают степень риска как «умеренную».

Oracle еще не выпустила исправление, но во вторник должна выйти очередная редакция ее регулярного Critical Patch Update. «В следующем квартальном обновлении Critical Patch Update мы планируем предоставить нашим заказчикам патч, устраняющий эту уязвимость», — рассказал представитель компании, но не смог уточнить, появится ли он на предстоящей неделе.

Источник: ZDNet.ru