Niezależny ekspert wykrył ponad 30 nowych podatności w oprogramowaniu Oracle

ByPLOUG

Niezależny ekspert wykrył ponad 30 nowych podatności w oprogramowaniu Oracle

Znany badacz bezpieczeństwa produktów Oracle – David Litchfield z firmy Next Generation Security Software – oświadczył na konferencji BlackHat Briefings, że odkrył 34 nowe podatności w różnych produktach Oracle, nie wyłączając najnowszych wersji 10g. Litchfield powiedział, że poinformował Oracle o podatnościach już w styczniu tego roku. Dwa miesiące temu uzyskał informacje że korporacja przygotowała poprawki jednak nie udostępnia ich ze względu na… nowy system dystrybucji poprawek, nad którym pracują programiści Oracle.

Litchfield nie ujawnił publicznie szczegółów technicznych, jednak wiadomo, że przynajmniej jedna z podatności pozwala na przejęcie kontroli nad bazą zdalnie, bez konieczności znajomości haseł i innych metod uwierzytelnienia (sugeruje to podatność w Oracle Listener). Ponad połowa wykrytych podatności ujawnia się również w najnowszej wersji bazy Oracle – 10g, przy czym trzy podatności są charakterystyczne tylko dla 10g i nie dotyczą poprzednich wersji.

Jak na razie nie został publicznie ujawniony żaden exploit wykorzystujący nowe podatności. Brak również doniesień o szerokim pojawieniu się exploitów w społecznościach hackerów.

Do czasu pojawienia się poprawek, eksperci radzą żeby oprzeć się na standardowych zasadach dobrej praktyki, a więc:

  • nie wystawiać zbędnych usług do sieci publicznych,
  • ograniczać dostęp do serwerów bazodanowych w sieci wewnętrznej,
  • stosować zasadę najmniejszych przywilejów,
  • na bieżąco sprawdzać nowe poprawki.

Oracle nie potwierdziło ani nie zaprzeczyło doniesieniom. W informacji przesłanej do CNET News.com czytamy: „Security is a matter we take seriously at Oracle and, while we stand firmly behind the inherent security of our products, we are always working to do better. Oracle has fixed the issues…and will issue a security alert soon.”

Linki:

Oracle Security Alerts:
http://www.oracle.com/technology/deploy/security/alerts.htm

Oracle Software „Riddled With Security Holes” (ZDNet)
http://news.zdnet.co.uk/software/applications/0,39020384,39162426,00.htm

Oracle, Under Fire, Admits To Database Security Holes (NetworkWorldFusion)
http://www.nwfusion.com/news/2004/0803oraclunder.html?fsrc=netflash-rss

Software Expert: Oracle Sat On Security Patches (Enterprise Security Today)
http://enterprise-security-today.newsfactor.com/

OK, Larry, You Want Us To Give The Guy A Contract Or Put One Out On Him? (SiliconValley.com)
http://www.siliconvalley.com/mld/siliconvalley/business/columnists/gmsv/

Oracle Promises To Patch Flaws Quickly (ZDNet)
http://news.zdnet.co.uk/software/applications/0,39020384,39162560,00.htm

About the Author

PLOUG administrator

Comments Are Closed!!!