english version на главную    


О нас
Технологии
Продукты
Торговая аналитика
Web design
Качество
Клиенты
Партнеры
Контакты

Новости   




20.02.2003
Oracle заткнула шесть дыр в СУБД

Материалы сайта www.zdnet.ru

Oracle призывает заказчиков срочно установить поправки, четыре из которых устраняют серьезные пробелы в защите.

Британская секьюрити-фирма Next-Generation Security Software, обнаружившая баг, которым воспользовался распространившийся в прошлом месяце червь Slammer, нашла шесть ошибок в новейшей версии СУБД Oracle. На прошлой неделе Oracle выпустила поправки для всех шести уязвимостей, четыре из которых считаются критическими, а две - просто серьезными. По словам директора Oracle по ИТ-безопасности Мэри-Энн Дэвидсон (Mary-Ann Davidson), компания, чтобы не перегружать заказчиков поправками, попыталась систематизировать процесс выпуска патчей для своих продуктов.

"Я постоянно беспокоюсь о том, устанавливают ли люди эти поправки, - говорит она. - Мы изменили процесс работы над ошибками, и теперь у нас есть формула, определяющая, к каким из них нужно относиться особенно серьезно. Если раньше мы выпускали патчи целыми пакетами, то теперь, если порог определенного уровня опасности превышен, мы можем выпустить самостоятельную поправку". Формула Oracle учитывает, как широко используется затрагиваемый продукт, к какому эффекту может привести использование уязвимости и другие подобные факторы.

Из шести выявленных ошибок четыре критических связаны с переполнением буфера в разных компонентах серверного ПО СУБД Oracle, включая его последнюю версию Oracle 9i Release 2. Переполнение буфера происходит, когда приложение неправильно управляет памятью. Вызывая переполнение буфера, атакующий может заставить систему исполнить его собственный код. Каждая из четырех ошибок позволяет пользователю-злоумышленнику - уже имеющему доступ к базе данных - получить полный контроль над сервером. Две другие ошибки позволяют злоумышленникам заставить отдельные компоненты СУБД Oracle вызвать атаку на отказ в обслуживании.

По словам Дэвидсон, серия из пяти предупреждений, в которых сообщается о шести ошибках, может показаться пугающей, однако Oracle решила, что отдельные предупреждения будут действеннее, чем одно общее; подобную стратегию иногда использует и Microsoft. "Можно было бы объединить все в одном предупреждении, но мы подумали, что это запутало бы людей, - говорит Дэвидсон. - Мы в такие игры не играем".


[назад к оглавлению]

Новости
Пресса
Почти всерьёз











english version home
© 2002 Interrussoft
Rambler's Top100


Rambler's Top100