2 и 1, а также в Oracle 8i 8.1.7 и Oracle 8.0. Если при аутентификации передать СУБД слишком длинное имя пользователя, происходит переполнение стекового буфера, в результате чего появляется возможность инсталлировать в системе произвольный код. Остальные уязвимости тоже связаны с ошибками переполнения буфера, но могут быть задействованы лишь пользователями, уже имеющими учетную запись в системе. Объявлено также об уязвимостях в сервере приложений Oracle 9i. Начиная с версии 9.0.2, программный продукт поддерживает технологию WebDAV, позволяющую обмениваться файлами через Web; поскольку технология по умолчанию активизирована, атакующий может анонимно загружать на сервер приложений произвольные файлы. Еще одна ошибка, присутствующая в системе протоколирования, позволяет взять сервер под контроль после отправки особым образом составленного запроса. Информацию о "заплатках" можно получить по адресу http://otn.oracle.com/deploy/security/alerts.htm.

Служба новостей IDG, Амстердам

Поделитесь материалом с коллегами и друзьями