Русская Америка - Russian America.
Новости на Русской Америке News События на Русской Америке Events Yellow Pages на Русской Америке Yellow Pages Доска объявлений на Русской Америке Classifieds Russian TV and Video TV/Video Знакомства на Русской Америке Dating Форум на Русской Америке Forum Чат на Русской Америке Chat Фотоальбомы RussianAmerica Photos
Русские в Америке. Русские знакомства, чат, форум.
Russian Chat, russian forum, russian dating.
 News Central
В мире
  Политика
  Разное
Бизнес
  Деньги
Общество
  Мода
  Религия
  Светская жизнь
  Шоу Бизнес
  Пикантные новости
  Животные
  Криминал
Спорт
Искусство
  Кино
  Музыка
Авто
Hi-Tech
  Интернет
  Hardware
  SoftNews
Здоровье
Путешествия
Вокруг света
USA
Россия
  
Ресурсы
  Самые последние
  Самые читаемые
Архив
 Другие ресурсы
Все Ресурсы

Рассылки
Газеты
Журналы
ТВ - Online
Радио

Юмор
  Анекдоты
  Игры
  Этикетки
  
Открытки
  Поздравь друга
  
Программа TV
Кино
  Новости кино
  Кинообзоры
  
Музыка
  Радио в internet
  Russian Top
  
Спорт
Web Обзоры Exler.ru
  
Читальный зал
ЭКСпромт - статьи для чайников
Компьютерные игры
Finance News
Автообзоры
Russian America Journal Digest
 Смотрите также
Yellow Pages
Объявления
Чат
Форум
  последнее

Читальный зал
  Стихи
  Проза
  Кулинария

Едем в Америку!
  Иммиграция
  Визы
  Советы

Знакомства
Фотоальбомы
Top Rating
  America TOP
  
 
NEWS CENTRAL >> Hi-Tech >> SoftNews

SoftNews

Серьезные дыры в ПО Oracle и Lotus
3:54PM Monday, Feb 24, 2003
Компьюлента. 21 февраля 2003 года, 12:29

16 и 17 февраля британская компания NGSSoftware, специализирующаяся на проблемах компьютерной безопасности, выпустила сразу девять предупреждений о дырах в популярных серверных программных продуктах компании Oracle и подразделения Lotus корпорации IBM. Программное обеспечение этих производителей широко распространено в корпоративном секторе, что делает уязвимости достаточно привлекательными для хакеров.

Сначала 16 февраля NGSSoftware опубликовала информацию о пяти уязвимостях в программных продуктах Oracle. Многие из обнаруженных дыр представляют серьезную опасность. Первая из уязвимостей касается сервера приложений Oracle 9i и носит критический характер. Направив на сервер определенным образом отформатированную строку с запросом, злоумышленник может захватить управление сервером.

Следующая дыра характеризуется высоким уровнем риска и связана с переполнением буфера функции TO_TIMESTAMP_TZ СУБД Oracle 9i. Аналогичная характеристика дается третьей и четвертой дырам в продуктах Oracle. Третья дыра связана с переполнением буфера функции bfilename, а четвертая - функции TZ_OFFSET. Если в команде, содержащей одну из этих функций, будет содержатся слишком длинный параметр, то произойдет ошибка, и злоумышленник сможет выполнить любой код, разрешенный политикой учетной записи, под которой запущена СУБД. Впрочем, для совершения атаки хакер должен быть подключен к базе данных как пользователь.

Пятая уязвимость содержится в сервере баз данных Oracle и связана с ошибкой переполнения буфера, возникающей в процессе аутентификации пользователей. По своей опасности эта дыра аналогична трем вышеупомянутым уязвимостям СУБД Oracle 9i, однако имеет более высокий - критический - рейтинг, так как для совершения атаки злоумышленнику необязательно знать имя пользователя и пароль. Практически все клиенты для подключения к серверам баз данных Oracle проверяют длину имени пользователя, так что для проведения атаки хакеру придется написать собственную клиентскую утилиту.

Перечень уязвимостей в продуктах Lotus был опубликован NGSSoftware 17 февраля. Три из этих четырех дыр носят критический характер и позволяют злоумышленнику выполнять от лица программных сервисов Lotus произвольный код. Первая из дыр в Lotus связана с наличием в службе перенаправления пользователя пакета Domino 6 возможности переполнения буфера. Запрашивая определенные документы или данные злоумышленник может произвести вызов функции перенаправления со слишком длинным параметром hostname (имя узла), что и вызовет ошибку. Особенно эта дыра опасна из-за того, что служба перенаправления по умолчанию доступна даже анонимным пользователям.

К аналогичным последствиям (захвату управления сервером Domino) может привести ошибка переполнения буфера в серверной части пакета для обмена сообщениями Lotus iNotes, возникающая из-за наличия чрезмерно длинного параметра в запросе к почтовой службе с веб-интерфейсом. Наконец, критическую опасность представляют два способа организации DoS-атак на веб-сервисы Domino.

Еще одна уязвимость среднего уровня опасности имеется в модуле ActiveX клиентской части iNotes. Она является следствием переполнения буфера функции InitializeUsingNotesUserName, которое злоумышленник может произвести с помощью электронного письма в формате HTML или особой веб-страницы. В результате, хакер способен захватить управление клиентской системой с правами работающего в данный момент пользователя.

Обо всех вышеперечисленных дырах NGSSoftware известила разработчиков ПО, которые выпустили соответствующие заплатки, которые можно найти на сайтах Oracle и Lotus. Lotus также выпустила обновленную версию пакета Domino с порядковым номером 6.0.1, в которой все вышеописанные дыры ликвидированы.

Смотрите также: Hi-Tech, Интернет, Hardware
 
Читайте также:

Microsoft начнет захват рынка сотовых телефонов с Китая

Приз за перенос Linux на Xbox может достаться Microsoft

Microsoft поторопилась выложить бету нового Office

Новый раунд судебных разбирательств между Palm и Xerox

Opera 7 поддерживает стандарты W3C лучше, чем Internet Explorer

Настоящая ICQ в мобильных телефонах


Вышел Roxio Easy CD & DVD Creator 6

QuarkXPress заработает под MacOS X

Производитель программы для копирования DVD начинает борьбу с пиратами

Ратифицирован стандарт обеспечения безопасности для XML

Компания Naumen выпустила открытую ERP/CRM-систему NauPR

Онлайновый магазин WalMart начал торговать коробками с Linux

В компьютеры встроят аварийное ПО для восстановления системы

Nero предлагает сетевое ПО для записи CD

Samsung вошла в долю в консорциуме Symbian

Opera отомстила Microsoft

Готовится к выходу вторая бета-версия нового MS Office

Linux готовится к прохождению сертификации на соответствие стандарту Common Criteria

Microsoft латает свой собственный патч

IBM лицензировала платформу Trolltech Qtopia для создания мобильных устройств на базе Linux

Какая судьба ждет Netscape, Mozilla и Gecko



Рассылки:
  Новости-почтой
  TV-Программа
  Гороскопы
  Job Offers
  Концерты
  Coupons
  Discounts
  Иммиграция
  Business News
  Анекдоты
Многое другое...

News Central Home | News Central Resources | Portal News Resources | Help | Login
Russian America Top Rating © 2024 RussianAMERICA Holding
All Rights Reserved • Contact