Wpadka Oracle’a

Firma Oracle przypadkowo opublikowała szczegóły dotyczące niezałatanej jeszcze luki w swoim oprogramowaniu bazodanowym.

Wśród opublikowanych danych znalazł się nawet przykładowy kod, który umożliwia wykorzystanie dziury. O istnieniu luki oficjalnie poinformowano przed tygodniem.

W portalu Metalink, który ma służyć pomocą klientom Oracle’a, ukazała się wówczas wiadomość na ten temat. Jeden z ekspertów zauważył, że ujawniono zbyt wiele szczegółów, co może być niebezpieczne dla użytkowników produktów Oracle’a.

Firma szybko usunęła z portalu feralną informację i oświadczyła, że wie, iż ujawniła zbyt wiele informacji na temat błędu występującego w Oracle Database 9i oraz Oracle Database 10g. Odpowiednią poprawkę obiecano opublikować 18 kwietnia.

Przestępca, który chciałby wykorzystać lukę, musi mieć założone konto w atakowanym przez siebie systemie bazodanowym. Zmniejsza to ryzyko przeprowadzenia skutecznego ataku. Niebezpieczeństwo wciąż jednak istnieje, gdyż wysyłając specjalnie spreparowane zapytania do bazy danych użytkownik, który normalnie ma prawa jedynie do odczytu danych, może zmieniać ich wartości.

Błąd dotyczy baz danych Oracle’a w wersji 9.2.0.0 oraz 10.2.0.3. Występuje on bez względu na wykorzystywany przez serwer system operacyjny.

Źródło: Arcabit.pl
Dziura w Oracle
Łatanie Oracle’a