Oracle опубликовала информацию о 39 уязвимостях в своих продуктах

image

Во вторник Oracle, в рамках своего квартального цикла выпуска исправлений, предложила заплатки для длинного перечня пробелов в защите многих своих продуктов.

Во вторник Oracle, в рамках своего квартального цикла выпуска исправлений, предложила заплатки для длинного перечня пробелов в защите многих своих продуктов. Critical Patch Update содержит патчи для 14 уязвимостей, связанных с продуктами Oracle Database, пяти, относящихся к Collaboration Suite, одной — в Application Server, 15 — в E-Business Suite and Applications, двух — в Enterprise Manager, одной — в корпоративном портале от PeopleSoft, и еще одной — в ПО JD Edwards.

Кроме секьюрити-патчей, Oracle внесла «значительные» изменения в инструмент контроля за учетными записями и паролями по умолчанию. Он вышел в январе в ответ на появление червя баз данных Oracle voyager, который использует эти параметры по умолчанию.

«Несколько из перечисленных уязвимостей опасны, и их следует устранить как можно скорее, — пишет в предупреждении для пользователей своей аналитической службы DeepSight поставщик ПО безопасности Symantec. — Oracle не предлагает никаких обходных решений для этих проблем».

В этом квартале число исправлений меньше, чем в предыдущие кварталы, отмечает эксперт по безопасности Пит Финниган (Pete Finnigan). Oracle сообщает мало подробностей, но Финниган заметил, что большинство багов СУБД относится к механизму присвоения имен некондиционным пакетам.

Он отмечает также, что хотя Oracle выпустила свой бюллетень, поправки для всех продуктов на всех операционных системах появятся только к 1 мая. «По-моему, нехорошо, что Oracle выпускает рекомендации, советуя заказчикам исправить свои базы данных, но многим из них придется подождать, — пишет Финниган. — Это уже не ежеквартальный план исправлений, если сами исправления задерживаются».

Производителя корпоративного ПО критикуют за медленное исправление ошибок и за отказ сотрудничать с нашедшими их экспертами. Директор по безопасности Oracle Мэри-Энн Дэвидсон говорит на это, что с точки зрения безопасности продуктов, охотники за багами сами могут стать проблемой.

В своем бюллетене компания выражает благодарность ряду исследователей, сообщивших об уязвимостях. В их числе Александр Корнбраст (Alexander Kornbrust ) из Red Database Security, Стефан Мартинес Файо (Esteban Martinez Fayo) из Application Security и Дэвид Личфилд (David Litchfield) из Next Generation Security Software, который сообщил об уязвимостях, найденных им в Oracle Database, в постинге в список почтовой рассылки Full Disclosure.

zdnet.ru


или введите имя

CAPTCHA