Гигант СУБД опубликовал не только детали не обнародованной еще уязвимости своего флагманского продукта, но и код для ее тестирования.
Oracle подтвердила факт случайного постинга. "Информация об уязвимости была непреднамеренно опубликована на MetaLink, - сообщил представитель компании. - Мы расследуем причины этой оплошности".
Ошибка, о которой идет речь, касается версий 9.1.0.0 - 10.2.0.3 СУБД Oracle для всех операционных систем. В постинге не только говорилось об уязвимости, но и содержался код для ее тестирования, отмечает Корнбраст, который ведет базу данных Red Database Security в Германии и часто охотится на баги в продуктах Oracle.
Заметку из MetaLink убрали. Тем не менее проблема засвечена, и теперь информация о баге должна быть обнародована, убежден Корнбраст. "Администраторы и разработчики БД, не заставшие заметку в MetaLink, должны знать об этой уязвимости, чтобы исключить или уменьшить риск до выхода исправления Oracle".
Ошибка открывает возможности для повышения привилегий, то есть пользователи базы данных с ограниченными правами могут повысить их уровень. "В зависимости от архитектуры приложения, можно модифицировать данные, для доступа к которым требуются повышенные привилегии - например, поменять пароль баз данных", - пишет Корнбраст.
Как следует из рекомендаций FrSIRT, причиной уязвимости служит ошибка в механизме управления определенными "представлениями", созданными непривилегированными пользователями. Аналитики из французской секьюрити-фирмы оценивают степень риска как "умеренную".
Oracle еще не выпустила исправление, но в середине апреля должна выйти очередная редакция ее регулярного Critical Patch Update. "В следующем квартальном обновлении Critical Patch Update мы планируем предоставить нашим заказчикам патч, устраняющий эту уязвимость", - рассказал представитель компании, но не смог уточнить, появится ли он на предстоящей неделе.
Приобрести продукты Oracle в электронном магазине ITShop
Скачать ознакомительные версии продуктов Oracle
Курсы обучения по продуктам Oracle
Корпорация Oracle является крупнейшим в мире поставщиком программного обеспечения для управления информацией и второй в мире компанией по поставке программного обеспечения. Имея годовой объем продаж более 9.7 миллиардов долларов США, компания предлагает свои базы данных, серверы приложений, инструментальные средства разработки и готовые приложения, а также услуги в области консалтинга, обучения и поддержки систем более чем в 145 странах во всем мире. СУБД Oracle используют более чем в 750 организациях на территории СНГ и более чем в 520 организациях на территории России.
О компании «Интерфейс» (185.71.96.61)
Запросить подробную информацию можно по адресу mail@interface.ru.