Найдена критическая уязвимость в СУБД Oracle

image

Теги: СУБД, Oracle, Black Hat, уязвимость

Обнаруженная уязвимость позволяет хакерам получить удаленный доступ к секретной информации предприятий и госучреждений.

Дэвид Литчфилд, глава исследовательского подразделения британской компании NGSSoftware, сообщил об обнаружении критической уязвимости в системе защиты баз данных от компании Oracle. Уязвимость позволяет хакерам получить удаленный доступ к секретной информации предприятий и госучреждений.

Эксперт рассказал об уязвимости в рамках своего выступления на конференции Black Hat, проходящей в Вашингтоне. Дэвид Литчфилд утверждает, что для установления полного контроля над базой атакующему не нужны пользовательские реквизиты и пароли. Более того, никакие межсетевые экраны не способны остановить злоумышленника.

Руководство Oracle было поставлено в известность о выявленной проблеме еще в ноябре прошлого года. Литчфилд надеялся, что корпоративные разработчики успеют устранить уязвимость в очередном наборе патчей. Эти обновления выпускаются ежеквартально, очередной комплект должен был увидеть свет в январе. После того как производитель СУБД не оправдал ожидания эксперта, Дэвид Литчфилд решил сделать материалы собственных исследований достоянием общественности.

Эксперт утверждает, что на данный момент 80% всех существующих баз данных Oracle уязвимы для атак извне. Однако, стоит отметить, что риску подвергаются лишь те хранилища, в которых используются настройки, заданные по умолчания. Смена этих настроек не позволит хакерам воспользоваться уязвимостью.


или введите имя

CAPTCHA
Страницы: 1  2  
Одмин
05-02-2010 11:02:46
Долбаный Oracle чтобы скачать обновления для своих баз предлагает заключить контракт на саппорт и только тогда можно скачать. Обновления выпускаются с опозданием в несколько месяцев.... В общем Майкрософт нервно дышит в сторонке по сравнению с Ораклом.
0 |
SC
05-02-2010 11:30:12
Почитай пользовательское соглашение под серверные винды. Они все срочные, и по истечению срока качать обновления как бы нельзя.
0 |
08-02-2010 08:47:56
Дык, просто лицензионная политика: скачать и поставить себе можешь хоть enterprise, а вот поддержка только для легально купивших. В конце концов это корпоративный, а не домохозяечный продукт, так что сравнение неуместно.
0 |
SC
05-02-2010 11:28:24
Как толсто :/ Это даже не интересно.
0 |
Йцукен
05-02-2010 12:16:47
>Более того, никакие межсетевые экраны не способны остановить злоумышленника. Какая крутая система. Наверное хакер libastral использовал для обхода файрволла и ната. Ну и источник soft.mail.ru символизирует.
0 |
Гость
05-02-2010 14:01:30
Ваш Firewall умеет в HTTP трафике находить и блокировать попытку эксплуатации уязвимости SQL сервера? Это функция IDS, а не межсетевого экрана
0 |
kozzztik
05-02-2010 15:39:56
Чета я не в теме. Что общего между СУБД и HTTP трафиком? "Более того, никакие межсетевые экраны не способны остановить злоумышленника." У меня фаервол закрыл все порты кроме 80 на котором висит апач. Злоумышленнику нужен libastral что бы обойти межсетевой экран, ни иначе. Негодуэ.
0 |
98017
05-02-2010 17:08:04
Луркай SQL injection, сучечка.
0 |
Толковый разработчи
06-02-2010 06:12:04
Мой файерволл еще и кофе готовит за завтраком. А что умеет твой, малыш?
0 |
Нанобот
05-02-2010 13:47:18
Более того, никакие межсетевые экраны не способны остановить злоумышленника. злоумышленик может создать разрыв в пространстве-времени, и, минуя все межсетевые экраны, получить прямой доступ к поверхности диска, на котором хранится база данных.
0 |
какбыч
05-02-2010 18:58:20
просто в оригинале статьи как бэ упомянуто, что атакующему надо иметь любую учетку для доступа к базе
0 |
12412
05-02-2010 18:44:35
все претензии к промту
0 |
Страницы: 1  2