»сследователь раскрыл неисправленную у€звимость Oracle

image

“еги: Oracle, у€звимость, исследователи

ѕутаница вокруг уведомлени€ компании, привела к обнародованию неисправленной у€звимости.

»сследователь информационной безопасности ошибочно†опубликовал инструкцию по эксплуатации бреши†в Oracle Database Server, полага€, что компани€ выпустила исправление, устран€ющую эту у€звимость. ѕо данным эксперта, ее можно использовать дл€ перехвата информации между клиентами и базой данных.

¬†квартальном бюллетене Oracle†(Critical Patch Update), опубликованном 17 апрел€, была указана информаци€ о том, что компани€ благодарит исследовател€ ƒжоксеана  орета (Joxean Koret) за оказанное содействие при исправлении у€звимостей. “акже сообщалось, что он предоставил информацию о бреши через компанию iSIGHT Partners.

ѕо словам  орета, он не тестировал у€звимость после выпуска исправлени€, поскольку решил, что компани€ исправила ее. ¬ св€зи с этим исследователь опубликовал подробное описание бреши и методов ее эксплуатации. ѕозже в ходе переписки с представител€ми Oracle он пон€л, что исправление еще не реализовано и будет выпущено позже. –азработчик у€звимого продукта по€снил, что исправление требует тщательной работы, и его бэкпортирование может привести к по€влению других проблем.

¬ насто€щий момент  орет добавил к описанию бреши несколько способов снижени€ риска компрометации. “ак, исследователь предлагает отключить функцию удаленной регистрации в компоненте TNS Listener. Ёто можно сделать, изменив настройки «dynamic_registration = off» в файле конфигурации listener.ora. †


или введите им€

CAPTCHA
хаха
28-04-2012 13:58:42
Ћоханулись реб€та))
0 |
ferus
29-04-2012 01:21:22
зато быстрее закроют
0 |