Исследователь раскрыл неисправленную уязвимость Oracle

Исследователь раскрыл неисправленную уязвимость Oracle

Путаница вокруг уведомления компании, привела к обнародованию неисправленной уязвимости.

Исследователь информационной безопасности ошибочно  опубликовал инструкцию по эксплуатации бреши  в Oracle Database Server, полагая, что компания выпустила исправление, устраняющую эту уязвимость. По данным эксперта, ее можно использовать для перехвата информации между клиентами и базой данных.

В  квартальном бюллетене Oracle  (Critical Patch Update), опубликованном 17 апреля, была указана информация о том, что компания благодарит исследователя Джоксеана Корета (Joxean Koret) за оказанное содействие при исправлении уязвимостей. Также сообщалось, что он предоставил информацию о бреши через компанию iSIGHT Partners.

По словам Корета, он не тестировал уязвимость после выпуска исправления, поскольку решил, что компания исправила ее. В связи с этим исследователь опубликовал подробное описание бреши и методов ее эксплуатации. Позже в ходе переписки с представителями Oracle он понял, что исправление еще не реализовано и будет выпущено позже. Разработчик уязвимого продукта пояснил, что исправление требует тщательной работы, и его бэкпортирование может привести к появлению других проблем.

В настоящий момент Корет добавил к описанию бреши несколько способов снижения риска компрометации. Так, исследователь предлагает отключить функцию удаленной регистрации в компоненте TNS Listener. Это можно сделать, изменив настройки «dynamic_registration = off» в файле конфигурации listener.ora.  

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену