Информационные технологии

Исследователь раскрыл неисправленную уязвимость Oracle

Путаница вокруг уведомления компании, привела к обнародованию неисправленной уязвимости.
Исследователь информационной безопасности ошибочно  опубликовал инструкцию по эксплуатации бреши  в Oracle Database Server, полагая, что компания выпустила исправление, устраняющую эту уязвимость. По данным эксперта, ее можно использовать для перехвата информации между клиентами и базой данных.
В  квартальном бюллетене Oracle  (Critical Patch Update), опубликованном 17 апреля, была указана информация о том, что компания благодарит исследователя Джоксеана Корета (Joxean Koret) за оказанное содействие при исправлении уязвимостей. Также сообщалось, что он предоставил информацию о бреши через компанию iSIGHT Partners.
По словам Корета, он не тестировал уязвимость после выпуска исправления, поскольку решил, что компания исправила ее. В связи с этим исследователь опубликовал подробное описание бреши и методов ее эксплуатации. Позже в ходе переписки с представителями Oracle он понял, что исправление еще не реализовано и будет выпущено позже. Разработчик уязвимого продукта пояснил, что исправление требует тщательной работы, и его бэкпортирование может привести к появлению других проблем.
В настоящий момент Корет добавил к описанию бреши несколько способов снижения риска компрометации. Так, исследователь предлагает отключить функцию удаленной регистрации в компоненте TNS Listener. Это можно сделать, изменив настройки «dynamic_registration = off» в файле конфигурации listener.ora.  

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор Исследователь раскрыл неисправленную уязвимость Oracle, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента