В "неуязвимом" Oracle все-таки есть прорехи

В ноябре на выставке Comdex Ларри Эллисон, глава компании Oracle во всеуслышание объявил о начале рекламной компании, посвященной "неуязвимому" серверному по Oracle 9i. Поначалу хакерам действительно не удавалось взломать сайт Oracle, хотя они и пытались: после начала кампании сайт Oracle пытались "свалить" до 30 тысяч раз в неделю. Миф о неуязвимости серверного ПО компании развеял 16 января специалист по компьютерной безопасности Кевин Поулсен, в своей статье на сайте SecurityFocus сообщивший о возможности взлома Oracle с использованием по крайней мере семи различных уязвимостей. Статья Поулсена представляет собой, по сути, обзор всех дыр в защите ПО, найденных с момента начала рекламной кампании.

В ноябре на выставке Comdex Ларри Эллисон, глава компании Oracle во всеуслышание объявил о начале рекламной компании, посвященной "неуязвимому" серверному по Oracle 9i. Поначалу хакерам действительно не удавалось взломать сайт Oracle, хотя они и пытались: после начала кампании сайт Oracle пытались "свалить" до 30 тысяч раз в неделю. Миф о неуязвимости серверного ПО компании развеял 16 января специалист по компьютерной безопасности Кевин Поулсен, в своей статье на сайте SecurityFocus сообщивший о возможности взлома Oracle с использованием по крайней мере семи различных уязвимостей. Статья Поулсена представляет собой, по сути, обзор всех дыр в защите ПО, найденных с момента начала рекламной кампании.

Еще в декабре британский исследователь Дэвидд Литчфилд сообщил об обнаружении распространенной ошибки переполнения буфера в Oracle 9i. Уже эта ошибка обеспечивает потенциальную возможность взлома и получения контроля над системой на базе Oracle 9i. Позже были найдены три аналогичных уязвимости в других компонентах системы, для всех были выпущены патчи, однако "неуязвимую" рекламную кампанию такие факты слегка подмочили.

Как выяснилось позже, за тремя обнаруженными ошибками последовали еще семь, найденных тем же Литчфилдом. Информацию о данных ошибках эксперт по безопасности представит общественности в феврале, предполагая, что к тому времени Oracle успеет выпустить заплатки. Пока известно лишь, что среди семи обнаруженных дыр в защите присутствуют и ошибки переполнения буфера, и более серьезные недоработки в работе Oracle 9i с различным ПО.

Таким образом, на сайте SecurityFocus утверждают, что "если кто-то говорит, что Oracle нельзя взломать, то он говорит неправду". "Мы все знаем, что 9i уязвим. Единственные люди, не знающие этого - те, кто сделал свой выбор в пользу Oracle в результате рекламной кампании, а также сам Ларри Эллисон". Представитель Oracle отказался комментировать информацию о конкретных уязвимостях, заявив только, что "все зависит от того, как вы определяете термин 'неуязвимый'".


или введите имя

CAPTCHA