Корпорация Oracle подготовила "заплатки" сразу для четырех уязвимостей своей СУБД, наиболее серьезная из которых легко позволяет атакующему полностью взять систему под контроль. Данная "брешь" присутствует в Oracle 9i Release
2 и 1, а также в Oracle 8i 8.1.7 и Oracle 8.0. Если при аутентификации передать СУБД слишком длинное имя пользователя, происходит переполнение стекового буфера, в результате чего появляется возможность инсталлировать в системе произвольный код. Остальные уязвимости тоже связаны с ошибками переполнения буфера, но могут быть задействованы лишь пользователями, уже имеющими учетную запись в системе. Объявлено также об уязвимостях в сервере приложений Oracle 9i. Начиная с версии 9.0.2, программный продукт поддерживает технологию WebDAV, позволяющую обмениваться файлами через Web; поскольку технология по умолчанию активизирована, атакующий может анонимно загружать на сервер приложений произвольные файлы. Еще одна ошибка, присутствующая в системе протоколирования, позволяет взять сервер под контроль после отправки особым образом составленного запроса. Информацию о "заплатках" можно получить по адресу
http://otn.oracle.com/deploy/security/alerts.htm.
Служба новостей IDG, Амстердам