Хакер #305. Многошаговые SQL-инъекции
В нынешний вторник Oracle выпустит 41 патч, закрывающий уязвимости в сотнях
продуктов этой компании. Об этом стало известно из опубликованного ею
предрелизного уведомления.
Более 15 патчей призваны закрыть дыры, которые, как поясняет Oracle, могут
быть использованы удаленно без необходимости аутентификации. Подобным
уязвимостям Oracle обычно присваивает высший рейтинг критичности. Девять таких
патчей предназначены для Oracle Secure Backup, два – для Application Server и
пять – для BEA Product Suite.
Комплект обновлений Critical Patch Update, который выйдет на следующей
неделе, будет также включать в себя 10 заплаток для уязвимостей, обнаруженных в
продуктах для работы с базами данных. 9 из 10 уязвимостей, для устранения
которых и предназначены эти апдейты, могут быть выполнены удаленно, без
необходимости получения доступа к базе с именем пользователя и паролем.
Среди продуктов, для которых будут выпущены обновления, компанией называются
различные версии баз данных (вплоть до Oracle database 9i), серия продуктов для
электронной коммерции, несколько версий Oracle WebLogic Server, а также продукты
Portal. Число выпускаемых обновлений практически идентично количеству патчей,
выпущенных компанией в прошлом квартале, когда их общее число составило 36
единиц.
Как обычно, Oracle призывает системных администраторов установить все патчи
как можно скорее, однако практика показывает, что с установкой большинства из
них администраторы обычно не слишком торопятся, не в последнюю очередь из-за
того, что испытывают опасения за работоспособность приложений после установки
обновлений.