Утром 1 сентября администраторы БД Oracle вышли в интернет и не поверили своим глазам. В их любимом сервере, на котором ведутся самые серьезные базы данных в интернете, в том числе государственного значения, обнаружено огромное количество уязвимостей.

За один день в “Оракле” обнаружено столько
ыр, сколько не находили, пожалуй, за всю историю его существования. Используя обнаруженные уязвимости, удаленный пользователь может получить полный контроль над базой данных. Отныне Oracle Database Server никак не может считаться безопасным, и эта программа, разработанная для ЦРУ, добавляется в список самых “дырявых” программ в интернете.

Итак, голые факты.

Подверженные уязвимости версии: Oracle Database Server 8i, 9i, и 10g; 8.1.7.4, 9.0.1.4, 9.0.1.5, 9.0.4, 9.2.0.4, 9.2.0.5 и 10.1.0.2. Опасность: критическая. Удаленный пользователь может получить полный контроль над сервером базы данных. Обнаруженные уязвимости включают переполнения буфера, PL/SQL инъекции, отказ в обслуживании и т.д. Полный список уязвимых пакетов и параметров, а также ссылки на подробности о каждой из многочисленных “дыр” можно найти здесь – http://www.securitylab.ru/47636.html.

Несчастная компания Oracle приступила к выпуску патчей и сообщила, что относительно безопасными можно считать только последние версии ПО. Это Oracle Database 10g Release 1, v. 10.1.0.3, Oracle Enterprise Manager Grid Control 10g, v. 10.1.0.3 (пока не выпущена), а также Oracle Application Server 10g (9.0.4), v. 9.0.4.2 (пока не выпущена). Рекомендации разработчиков по закрытию дыр находятся здесь – www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf.

By Ruslan Novikov

Интернет-предприниматель. Фулстек разработчик. Маркетолог. Наставник.