Firma Oracle przypadkowo opublikowała szczegóły dotyczące niezałatanej jeszcze luki w swoim oprogramowaniu bazodanowym.
Wśród opublikowanych danych znalazł się nawet przykładowy kod, który umożliwia wykorzystanie dziury. O istnieniu luki oficjalnie poinformowano przed tygodniem.
W portalu Metalink, który ma służyć pomocą klientom Oracle'a, ukazała się wówczas wiadomość na ten temat. Jeden z ekspertów zauważył, że ujawniono zbyt wiele szczegółów, co może być niebezpieczne dla użytkowników produktów Oracle'a.
Firma szybko usunęła z portalu feralną informację i oświadczyła, że wie, iż ujawniła zbyt wiele informacji na temat błędu występującego w Oracle Database 9i oraz Oracle Database 10g. Odpowiednią poprawkę obiecano opublikować 18 kwietnia.
Przestępca, który chciałby wykorzystać lukę, musi mieć założone konto w atakowanym przez siebie systemie bazodanowym. Zmniejsza to ryzyko przeprowadzenia skutecznego ataku. Niebezpieczeństwo wciąż jednak istnieje, gdyż wysyłając specjalnie spreparowane zapytania do bazy danych użytkownik, który normalnie ma prawa jedynie do odczytu danych, może zmieniać ich wartości.
Błąd dotyczy baz danych Oracle'a w wersji 9.2.0.0 oraz 10.2.0.3. Występuje on bez względu na wykorzystywany przez serwer system operacyjny.
Źródło: Arcabit.pl
Wpadka Oracle'a
Bezpieczeństwo |
Wt, 11 Kwie 2006 13:03:01 +0200 |
Autor:
Redakcja
| Czytań: 4949
Pozostałe wiadomości w kategorii Bezpieczeństwo (2391)
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9640 pkt.
2
grzemach 870 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 140 pkt.
6
kris2005a 140 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.