9 июля 2001 г.
Эксперты по защите информации из Covert Labs, подразделения компании PGP Security, принадлежащей Network Associates, обнаружили серьезную уязвимость СУБД Oracle.
Опасная "дыра" возникает при использовании компоненты listener, координирующей взаимодействие пользователей базы данных и СУБД. В том случае, когда хакер вводит большее количество символов, чем предусмотрено в программе, возникает ошибка переполнения буфера. Лишние символы при этом записываются в память компьютера. Опытный хакер может воспользоваться этим, поместив команды в нужную область памяти, что заставляет процессор запустить программу, предоставляющую несанкционированный доступ к СУБД: он сможет просмотреть и изменить любые данные.Дальше хакер действует в зависимости от ОС: на платформе Windows СУБД Oracle пользуется очень широкими правами, что предоставляет взломщику полный контроль над системой. На платформах Unix Oracle обладает не столь широкими полномочиями, но взлом СУБД может стать для хакера отправной точкой для последующих атак и взлома всей системы.Компания Oracle исправила программную ошибку, закрыв "дыру" в системе защиты своей СУБД в версии 9i. Кроме того, были выпущены исправления к предыдущим версиям ПО.
Источник: CNews.ru
|