«Неуязвимый» Oracle погряз в дырах

В декабре 2001 г корпорация Oracle развернула мощную маркетинговую акцию, назвав свои продукты «неуязвимыми» («Unbreakable»). Эксперты назвали маркетинговую акцию Oracle одной из самых успешных в истории «новой экономики». Так, слоган «Unbreakable», продвижение которого началось одновременно с выходом одноименного фильма с Брюсом Уиллисом в главной роли, обошелся Oracle в $30 млн., что по меркам крупной корпорации является ничтожным рекламным бюджетом.

Однако, уже в начале февраля этого года исследователи Британской компании NGSSoftware , специализирующейся в области компьютерной безопасности, обнаружили ряд очень серьезных уязвимостей в программном обеспечении Oracle. Обнаруженные дыры предоставляют хакеру прекрасную возможность удаленной атаки на сервера, использующие базы данных Oracle. Используя уязвимость Oracle Remote Compromise, злоумышленник может подключиться к каналу, по которому передаются данные между базой данных Oracle и интерфейсом PL/SQL, и отдавать команды, исполняемые на том же уровне, на котором работает сама база данных сервера. В случае Windows это системный уровень, в случае Unix — пользовательский. И в том, и в другом случае последствия захвата управления сервером могут дорого обойтись его владельцам. Вторая дыра, обнаруженная специалистами NGSSoftware в ПО Oracle, касается взаимодействия модуля PL/SQL с веб-сервером Apache и затрагивает пресловутую проблему переполнения буфера. Последняя уязвимость относится к механизму реализации технологии динамической генерации веб-страниц JavaServer Pages (JSP). С ее помощью злоумышленник может получить доступ к исходному коду JSP-документов, которые могут содержать важные данные о конфигурации сервера или пароли. Патчи, закрывающие вторую и третью уязвимости Вы найдете здесь.

Последний удар по «неуязвимому» Oracle был нанесен отчетом, опубликованным группой экспертов в области сетевой безопасности CERT . В отчете сообщается сразу о 37 уязвимостях, которым подвержены серверы, работающие с Oracle8i Database, Oracle9i Database и Oracle9i Application Server.
Согласно данным CERT, обнаруженные системные ошибки имеют различную степень серьезности, однако, как минимум, одна из них позволяет осуществить несанкционированное проникновение в систему, минуя процедуру регистрации.

Представители Oracle отказалась комментировать результаты исследований сотрудников CERT, мотивируя это тем, что никаких неизвестных разработчикам ошибок там представлено не было.
В связи с тем, что до сих пор не выработано необходимого патча для самой опасной из обнаруженных уязвимостей, все серверное оборудование, на котором установлены перечисленные пакеты находится в зоне риска.

Анна Григорьева