Поделиться
Oracle предупредил о множестве уязвимостей в своем ПО
Oracle предупредил своих пользователей о необходимости немедленного исправления 6 уязвимостей в системе безопасности, четыре из которых охарактеризованы компанией как критический ошибки. Ошибки обнаружила британская фирма Next-Generation Security Software в последнем продукте из числа баз данных компании, вынудив Oracle выпустить заплаты для всех 6 уязвимостей и поторопить пользователей в их установке.Мэри-Энн Дэвидсон (Mary-Ann Davidson), директор по безопасности Oracle, попыталась нарисовать путь, по которому проходит любой патч для их продуктов, чтобы не обременять пользователей дополнительными заботами. Специалисты пересматривают обработку ошибок и определяют степень их важности, исходя из множества условий, в том числе степени распространения уязвимого ПО, возможный эффект от использования уязвимости и т.д. Если ошибка находится возле определенного порога серьезности, заплата для нее может быть выпущена как одноразовая до выпуска полного патча.
Четыре из шести последних ошибок связаны с критическим переполнением буфера в различных компонентах серверного ПО для баз данных от Oracle, в том числе в Oracle 9i Release 2. Переполнение происходит при некорректной работе приложения с памятью. Используя эти уязвимости, атакующие могут вставить свой собственный код в выполняемый файл приложения. Каждая из 4 уязвимостей может позволить злоумышленнику получить полный контроль над сервером. Две другие уязвимости могут использовать другие компоненты Oracle для совершения атаки «Отказ от обслуживания».
По словам г-жи Дэвидсон, компания решила выпустить отдельные предупреждения по каждой уязвимости, считая это более оправданным, чем единое комбинированное сообщении, часто практикуемое, например, Microsoft. Выпуск нескольких предупреждений должен больше обеспокоить пользователей, предполагают специалисты Oracle.
Источник: по материалам сайта Silicon.com.
Короткая ссылка
