Oracle заткнула шесть дыр в СУБД

Oracle призывает заказчиков срочно установить поправки, четыре из которых устраняют серьезные пробелы в защите.

Британская секьюрити-фирма Next-Generation Security Software, обнаружившая баг, которым воспользовался распространившийся в прошлом месяце червь Slammer, нашла шесть ошибок в новейшей версии СУБД Oracle.

На прошлой неделе Oracle выпустила поправки для всех шести уязвимостей, четыре из которых считаются критическими, а две — просто серьезными. По словам директора Oracle по ИТ-безопасности Мэри-Энн Дэвидсон (Mary-Ann Davidson), компания, чтобы не перегружать заказчиков поправками, попыталась систематизировать процесс выпуска патчей для своих продуктов.

«Я постоянно беспокоюсь о том, устанавливают ли люди эти поправки, — говорит она. — Мы изменили процесс работы над ошибками, и теперь у нас есть формула, определяющая, к каким из них нужно относиться особенно серьезно. Если раньше мы выпускали патчи целыми пакетами, то теперь, если порог определенного уровня опасности превышен, мы можем выпустить самостоятельную поправку». Формула Oracle учитывает, как широко используется затрагиваемый продукт, к какому эффекту может привести использование уязвимости и другие подобные факторы.

Из шести выявленных ошибок четыре критических связаны с переполнением буфера в разных компонентах серверного ПО СУБД Oracle, включая его последнюю версию Oracle 9i Release 2. Переполнение буфера происходит, когда приложение неправильно управляет памятью. Вызывая переполнение буфера, атакующий может заставить систему исполнить его собственный код. Каждая из четырех ошибок позволяет пользователю-злоумышленнику — уже имеющему доступ к базе данных — получить полный контроль над сервером.

Две другие ошибки позволяют злоумышленникам заставить отдельные компоненты СУБД Oracle вызвать атаку на отказ в обслуживании.

По словам Дэвидсон, серия из пяти предупреждений, в которых сообщается о шести ошибках, может показаться пугающей, однако Oracle решила, что отдельные предупреждения будут действеннее, чем одно общее; подобную стратегию иногда использует и Microsoft. «Можно было бы объединить все в одном предупреждении, но мы подумали, что это запутало бы людей, — говорит Дэвидсон. — Мы в такие игры не играем».

Предыдущие публикации:

2003-01-24		Заказчики вынудили Oracle изменить решение
2003-02-14		Red Hat и Oracle займутся сертификацией Linux

В продолжение темы:

2003-03-12

Oracle сохраняет лидерство на рынке СУБД

Обсуждение и комментарии

	Qrot 19 Feb 2003 5:51 PM
як-як? анбрикабля? та павбивав бы! я надысь в OCI от 7-ки обнаружил: если переменную курсора не обнулять перед получением собсно курсора, то клиент висит.. хоть код ошибки вернул, зараза. и ведь хоть бы где написали что обнулять надо!

	jstm 19 Feb 2003 6:39 PM
Kliuchevaja fraza - "...uzhe imejushij dostup k BD..." Tak chto ne nado :)

	quadic 19 Feb 2003 8:34 PM
2jstm: "Tak chto ne nado :)" http://www.securitylab.ru/?ID=35973 Так что надо, Федя, надо...

	Simon 20 Feb 2003 8:52 AM
Что-то какя-то вялая реакция уважаемой публики на энтот "вопиющий" факт в индустрии програмного обеспечения... Видимо, потому, что не Microsoft облажался ;-)

	DemonZla 20 Feb 2003 9:51 AM
Да нет... просто база данных это не ОС... хотя тоже плохо...

	СтранниК 20 Feb 2003 10:13 AM
А чего говорить, Oracle давно уже стремится подражать MS$. Вполне нормально в третьем релизе обнаружить утечку памяти какую нибудь. Единственная радость это конечно Metalink. А так бы было вообще грустно. Просто надежнок ПО пока никому не нужно. Ну представьте кому будет хорошо от того что будут "вечные лезвия"?

	Наблюдатель 20 Feb 2003 10:13 AM
2DemonZla Так это гораздо хуже.

	Наблюдатель 20 Feb 2003 10:30 AM
2DemonZla Так это гораздо хуже.

	glassy 20 Feb 2003 12:14 PM
Ну не пдрсы ли, а?

	Simon 20 Feb 2003 2:17 PM
Мне кажется, что давно уже пора всем признать - ПО без дырок не бывает - ну не придумали еще пока такой способ 100% контроля качества. И не устраивать истерик по этому поводу, а выбирать таких вендоров, у которых этих дырок меньше, или кто их патчит быстрее, или и то, и другое ;-)

	glassy 21 Feb 2003 8:19 AM
2Simon: ты гонишь, 100% контроль качества возможен, и методики тебе должны быть даны на лекциях по ТРПО и/или метрологии ПО. (Правда, даже логарифмы не помогают скрыть резко увеличивающуюся сложность ПО). Просто 1. Тестеры дешевле разработчиков тестов 2. Не все ошибки выгодно исправлять 3. Не везде выгодно ошибки искать. 4. ОпенСоурс со своей бесплатной рабочей силой может себе позволить уделять побольше внимания нахождению/исправлению ошибок

	torvic 21 Feb 2003 9:43 AM
Угу методики то даны, только все они начинаются "100% контроль качества невозможен ..."

	СтранниК 21 Feb 2003 10:16 AM
2torvic Угу методики то даны, только все они начинаются "100% контроль качества невозможен ..." == Ну и много народу в этом направлении работает? Я не так давно нашел классную ссылку. Я думаю, что просто никто не хочет этим заниматься, ведь тогда можно будет гарантировать качество ПО, а это наверняка снизит доходность. http://www.softcraft.ru/auto.shtml Как по мне так авторы достаточно убедительны.

	glassy 21 Feb 2003 10:22 AM
2torvic: :)

	torvic 21 Feb 2003 1:57 PM
2СтранниК Ну да читали http://www.osp.ru/pcworld/2002/02/144.htm те же самые авторы, что кстати опровергает тезис о том, что никто не хочет этим заниматься, ведь существуют же помимо разных контор и научные, университ. центры. А потом насколько я понимаю речь шла о методиках в рамках традиционной парадигмы :) По поводу автоматных методов ... я не большой спец, посему побаиваюся напрямую спрашивать на softcraft'e, но может кто-то знает ... в классификации Бэкуса: 1. Простые операционные модели 2. Модель Неймана 3. Аппликативные модели они куда попадают? в 1???

	glassy 21 Feb 2003 3:00 PM
между прочим, заниматься программированием такого автомата будет намного скучнее его реализации :-Р

	glassy 21 Feb 2003 3:01 PM
s/такого/любого подобного созданного/ ну вы меня поняли :) надеюсь

	grimaldy 21 Feb 2003 3:17 PM
и где эти патчи достать? Кто нибудь знает? На oracle-овом сайте куда тыкать? - я никакой информации по этому поводу там не нашёл...

	СтранниК 21 Feb 2003 6:28 PM
2torvic те же самые авторы, что кстати опровергает тезис о том, что никто не хочет этим заниматься, ведь существуют же помимо разных контор и научные, университ. центры. === Я про то что, производители ПО этим не очень интересуются.

	СтранниК 21 Feb 2003 6:29 PM
2glassy между прочим, заниматься программированием такого автомата будет намного скучнее его реализации :-Р === Ну вы знаете речь как раз не идет про удовольствия, а скорей про качество ПО.

	glassy 24 Feb 2003 9:00 AM
2Странник: правильно, чем глючней система, тем с ней веселее программистам :)

	glassy 24 Feb 2003 11:01 AM
"Сложность программ является существенным, а не второстепенным свойством. Поэтому описания программных объектов, абстрагирующиеся от их сложности, часто абстрагируются от их сущности. Математика и физические науки за три столетия достигли больших успехов, создавая упрощенные модели сложных физических явлений, получая из этих моделей свойства и проверяя их опытным путем. Это удавалось благодаря тому, что сложности, игнорировавшиеся в моделях, не были существенными свойствами явлений. И это не действует, когда сложности являются сущностью." TMMM Так-то...

	torvic 24 Feb 2003 1:59 PM
2glassy Смешались в кучу кони, люди ... :) Давайте все-таки определимся про что мы говорим, про сложность программируемой сущности или про сложности не присущие изначально этой самой сущности, а привносимые извне (как руками, так и инструментарием).

	glassy 24 Feb 2003 2:15 PM
дыкть я ж не говорю, я ж летаю :)

	glassy 24 Feb 2003 2:49 PM
Кстати, согласен, программы должны быть такими, чтобы изменение любого символа исходного кода приводило к изменению логики, а не к ошибке компилляции

	ddd 25 Feb 2003 1:43 PM
Я так понял все эти баги связаны с bfiles начиная с 8-ки, а права на эти пакеты есть у public, так что если у вас клиент-сервер приложение без агента то ж0па...

← январь 2003

13 14 17 18 19 20 21 24 25

март 2003 →