Oracle не сможет выпустить патч для новой уязвимости?
Исследователь безопасности баз данных, Дэвид Личфилд (David Litchfield) совместно с компанией NGS Software, утверждает, что открыл новый класс уязвимостей, касающихся баз данных Oracle. Уязвимость в продукте Oracle позволяет атакующему запускать "SQL-инъекцию", которая крадет конфиденциальную информацию пользователя. "Небо от этого не упадет, но в определенных случаях атак данные могут быть без особых усилий раскрыты атакующими", - пишет в своем анализе Личфилд.
Уязвимость Oracle позволяет пользователю с низкими привилегиями получать права администратора к некоторым частям баз данных, вследствие чего данные могут быть изменены или украдены. Действие уязвимости начинается, когда стороннее приложение или разработка Oracle не в состоянии закрыть так называемые курсоры в базе данных. Курсоры обеспечивают разработчиков приложений способом обработки баз данных в своих продуктах. Если один из курсоров создается более высоко привилегированным кодом и оставляется открытым, то атакующий получает возможность получить права администратора.
Для того, чтобы не допустить использование уязвимости, разработчикам необходимо использование надлежащих методов кодирования. Дэвид Личфилд заявляет, что Oracle не способна выпустить патч для данной проблемы. Oracle пока никак не прокомментировала слова Личфилда.
Уязвимость Oracle позволяет пользователю с низкими привилегиями получать права администратора к некоторым частям баз данных, вследствие чего данные могут быть изменены или украдены. Действие уязвимости начинается, когда стороннее приложение или разработка Oracle не в состоянии закрыть так называемые курсоры в базе данных. Курсоры обеспечивают разработчиков приложений способом обработки баз данных в своих продуктах. Если один из курсоров создается более высоко привилегированным кодом и оставляется открытым, то атакующий получает возможность получить права администратора.
Для того, чтобы не допустить использование уязвимости, разработчикам необходимо использование надлежащих методов кодирования. Дэвид Личфилд заявляет, что Oracle не способна выпустить патч для данной проблемы. Oracle пока никак не прокомментировала слова Личфилда.
Ещё новости по теме:
18:20