Oracle случайно проговорилась о дыре в базе данных

Гигант СУБД опубликовал не только детали не обнародованной еще уязвимости своего флагманского продукта, но и код для ее тестирования.

Oracle случайно разгласила сведения об опасной ошибке, которая еще не исправлена. Обычно компания держит проблемы безопасности в секрете и критикует тех исследователей, которые публично обсуждают ошибки в продуктах Oracle. Но 6 апреля на своем веб-сайте для заказчиков, под названием MetaLink, она сама опубликовала заметку с подробностями о неисправленной ошибке - об этом сообщил независимый эксперт по безопасности, специализирующийся на продуктах Oracle, Александр Корнбраст (Alexander Kornbrust).

Oracle подтвердила факт случайного постинга. "Информация об уязвимости была непреднамеренно опубликована на MetaLink, - сообщил представитель компании. - Мы расследуем причины этой оплошности".

Ошибка, о которой идет речь, касается версий 9.1.0.0 - 10.2.0.3 СУБД Oracle для всех операционных систем. В постинге не только говорилось об уязвимости, но и содержался код для ее тестирования, отмечает Корнбраст, который ведет базу данных Red Database Security в Германии и часто охотится на баги в продуктах Oracle.

Заметку из MetaLink убрали. Тем не менее проблема засвечена, и теперь информация о баге должна быть обнародована, убежден Корнбраст. "Администраторы и разработчики БД, не заставшие заметку в MetaLink, должны знать об этой уязвимости, чтобы исключить или уменьшить риск до выхода исправления Oracle".

Ошибка открывает возможности для повышения привилегий, то есть пользователи базы данных с ограниченными правами могут повысить их уровень. "В зависимости от архитектуры приложения, можно модифицировать данные, для доступа к которым требуются повышенные привилегии - например, поменять пароль баз данных", - пишет Корнбраст.

Как следует из рекомендаций FrSIRT, причиной уязвимости служит ошибка в механизме управления определенными "представлениями", созданными непривилегированными пользователями. Аналитики из французской секьюрити-фирмы оценивают степень риска как "умеренную".

Oracle еще не выпустила исправление, но в середине апреля должна выйти очередная редакция ее регулярного Critical Patch Update. "В следующем квартальном обновлении Critical Patch Update мы планируем предоставить нашим заказчикам патч, устраняющий эту уязвимость", - рассказал представитель компании, но не смог уточнить, появится ли он на предстоящей неделе.

Приобрести продукты Oracle в электронном магазине ITShop
Скачать ознакомительные версии продуктов Oracle
Курсы обучения по продуктам Oracle

О корпорации Oracle

Корпорация Oracle является крупнейшим в мире поставщиком программного обеспечения для управления информацией и второй в мире компанией по поставке программного обеспечения. Имея годовой объем продаж более 9.7 миллиардов долларов США, компания предлагает свои базы данных, серверы приложений, инструментальные средства разработки и готовые приложения, а также услуги в области консалтинга, обучения и поддержки систем более чем в 145 странах во всем мире. СУБД Oracle используют более чем в 750 организациях на территории СНГ и более чем в 520 организациях на территории России.

Подробнее о продуктах Oracle

О компании «Интерфейс» (185.71.96.61)

Компания «Интерфейс» основана в 1990 году. Сегодня она – один из ведущих российских поставщиков инструментальных средств и решений для создания корпоративных информационных систем, разработки приложений, управления проектами, реинжиниринга деятельности предприятий, OLAP. Поставляет программные продукты и решения компаний Oracle, Computer Associates, IBM, Microsoft, Borland, Embarcadero Technologies, Business Objects, Gupta, ROSS Systems, Sybase, Symantec, Rockwell и других. Успешно ведет проекты по автоматизации предприятий на базе ERP-системы iRenaissanse и системы документооборота DocsVision, содействует подготовке к сертификации по стандартам ISO900x и CMM, оказывает консалтинговые услуги и проводит обучение информационным технологиям. «Интерфейс» входит в TOP100 консалтинговых компаний России (по рейтингу РА «Эксперт»).
Запросить подробную информацию можно по адресу mail@interface.ru.