Последнее исправление базы данных не устранило ошибку, для использования которой уже есть опубликованный эксплойт.
На прошлой неделе производитель бизнес-ПО выпустил свой ежеквартальный набор патчей Critical Patch Update, исправляющий более 30 ошибок в программном обеспечении Oracle. Однако обновление для Oracle 10g Release 2 не устранило уязвимость, которую использует опубликованный вредоносный код, утверждает в списке рассылки Full Disclosure эксперт из Next Generation Security Software Дэвид Литчфилд.
Эксплойт, обнародованный в Интернете на прошлой неделе, рассчитан не на одну из исправленных Oracle ошибок, как это считалось вначале, а использует нерешенную проблему. Благодаря неустраненной уязвимости в модуле экспорта СУБД — компоненте, который уже неоднократно становился источником проблем безопасности — злоумышленники по-прежнему могут получить более высокие привилегии в системе, утверждает Литчфилд.
Компания Symantec в предупреждении для пользователей своей службы DeepSight отмечает, что проблема может проявляться и в других версиях 10g. «Мы настоятельно рекомендуем администраторам запретить общий доступ к модулю экспорта СУБД до появления адекватного исправления от поставщика, решающего эту проблему», — говорится в рекомендации.
Комментарии Oracle получить не удалось.
Литчфилд подчеркнул, что Oracle было сообщено об этой уязвимости еще 19 февраля. Он описывает другие проблемы, связанные с тем же модулем, которые, по его словам, Oracle пыталась решить с момента первого обращения Литчфилда к компании в апреле 2004 года, но так и не смогла.
Эксперты по безопасности критикуют Oracle за медлительность при выпуске патчей и за отказ тесно сотрудничать с ними с целью устранения уязвимостей. В ответ директор по безопасности Мэри-Энн Дэвидсон сказала, что иногда исследователи сами становятся препятствием к созданию безопасного продукта.
