Oracle случайно проговорилась о дыре в базе данных

Гигант СУБД опубликовал не только детали не обнародованной еще уязвимости своего флагманского продукта, но и код для ее тестирования.

Oracle случайно разгласила сведения об опасной ошибке, которая еще не исправлена. Обычно компания держит проблемы безопасности в секрете и критикует тех исследователей, которые публично обсуждают ошибки в продуктах Oracle. Но 6 апреля на своем веб-сайте для заказчиков, под названием MetaLink, она сама опубликовала заметку с подробностями о неисправленной ошибке – об этом сообщил независимый эксперт по безопасности, специализирующийся на продуктах Oracle, Александр Корнбраст (Alexander Kornbrust).

Oracle подтвердила факт случайного постинга. "Информация об уязвимости была непреднамеренно опубликована на MetaLink, — сообщил представитель компании. — Мы расследуем причины этой оплошности".

Ошибка, о которой идет речь, касается версий 9.1.0.0 - 10.2.0.3 СУБД Oracle для всех операционных систем. В постинге не только говорилось об уязвимости, но и содержался код для ее тестирования, отмечает Корнбраст, который ведет базу данных Red Database Security в Германии и часто охотится на баги в продуктах Oracle.

Заметку из MetaLink убрали. Тем не менее проблема засвечена, и теперь информация о баге должна быть обнародована, убежден Корнбраст. "Администраторы и разработчики БД, не заставшие заметку в MetaLink, должны знать об этой уязвимости, чтобы исключить или уменьшить риск до выхода исправления Oracle".

Ошибка открывает возможности для повышения привилегий, то есть пользователи базы данных с ограниченными правами могут повысить их уровень. "В зависимости от архитектуры приложения, можно модифицировать данные, для доступа к которым требуются повышенные привилегии — например, поменять пароль баз данных", — пишет Корнбраст.

Как следует из рекомендаций FrSIRT, причиной уязвимости служит ошибка в механизме управления определенными "представлениями", созданными непривилегированными пользователями. Аналитики из французской секьюрити-фирмы оценивают степень риска как "умеренную".

Oracle еще не выпустила исправление, но в середине апреля должна выйти очередная редакция ее регулярного Critical Patch Update. "В следующем квартальном обновлении Critical Patch Update мы планируем предоставить нашим заказчикам патч, устраняющий эту уязвимость", — рассказал представитель компании, но не смог уточнить, появится ли он на предстоящей неделе.

Приобрести продукты Oracle в электронном магазине ITShop
Скачать ознакомительные версии продуктов Oracle
Курсы обучения по продуктам Oracle

О корпорации Oracle

Корпорация Oracle является крупнейшим в мире поставщиком программного обеспечения для управления информацией и второй в мире компанией по поставке программного обеспечения. Имея годовой объем продаж более 9.7 миллиардов долларов США, компания предлагает свои базы данных, серверы приложений, инструментальные средства разработки и готовые приложения, а также услуги в области консалтинга, обучения и поддержки систем более чем в 145 странах во всем мире. СУБД Oracle используют более чем в 750 организациях на территории СНГ и более чем в 520 организациях на территории России.

О компании Interface Ltd.

Основанная в 1990 г., компания Interface Ltd. - ведущий российский поставщик инструментальных средств и решений для создания корпоративных информационных систем, разработки приложений, управления проектами, реинжиниринга деятельности предприятий, OLAP и др. Компания успешно ведет проекты по автоматизации предприятий на базе ERP-систем iRenaissance и MFG/PRO, содействует подготовке к сертификации по стандартам ISO900x и CMM, оказывает консалтинговые услуги и проводит обучение информационным технологиям. Interface Ltd. входит в TOP100 консалтинговых компаний России (по рейтингу РА Эксперт). Компания Interface Ltd. поставляет программные продукты и решения компаний Oracle, Computer Associates, Rational Software, Microsoft, Borland, Сrystal Decisions, Centura/Gupta, QAD, ROSS Systems, Sybase, Symantec, Rockwell и др.