Русская Америка - Russian America.
Руссике артисты на Американской сцене
Новости на Русской Америке News События на Русской Америке Events Yellow Pages на Русской Америке Yellow Pages Доска объявлений на Русской Америке Classifieds Russian TV and Video TV/Video Знакомства на Русской Америке Dating Форум на Русской Америке Forum Чат на Русской Америке Chat Фотоальбомы RussianAmerica Photos
Русские в Америке. Русские знакомства, чат, форум.
Russian Chat, russian forum, russian dating.
 News Central
В мире
  Политика
  Разное
Бизнес
  Деньги
Общество
  Мода
  Религия
  Светская жизнь
  Шоу Бизнес
  Пикантные новости
  Животные
  Криминал
Спорт
Искусство
  Кино
  Музыка
Авто
Hi-Tech
  Интернет
  Hardware
  SoftNews
Здоровье
Путешествия
Вокруг света
USA
Россия
  
Ресурсы
  Самые последние
  Самые читаемые
Архив
 Другие ресурсы
Все Ресурсы

Рассылки
Газеты
Журналы
ТВ - Online
Радио

Юмор
  Анекдоты
  Игры
  Этикетки
  
Открытки
  Поздравь друга
  
Программа TV
Кино
  Новости кино
  Кинообзоры
  
Музыка
  Радио в internet
  Russian Top
  
Спорт
Web Обзоры Exler.ru
  
Читальный зал
ЭКСпромт - статьи для чайников
Компьютерные игры
Finance News
Автообзоры
Russian America Journal Digest
 Смотрите также
Yellow Pages
Объявления
Чат
Форум
  последнее

Читальный зал
  Стихи
  Проза
  Кулинария

Едем в Америку!
  Иммиграция
  Визы
  Советы

Знакомства
Фотоальбомы
Top Rating
  America TOP
  
Последние новости со всего мира.
 
NEWS CENTRAL >> Hi-Tech >> SoftNews

SoftNews

Серьезные дыры в ПО Oracle и Lotus
3:54PM Monday, Feb 24, 2003
Компьюлента. 21 февраля 2003 года, 12:29

16 и 17 февраля британская компания NGSSoftware, специализирующаяся на проблемах компьютерной безопасности, выпустила сразу девять предупреждений о дырах в популярных серверных программных продуктах компании Oracle и подразделения Lotus корпорации IBM. Программное обеспечение этих производителей широко распространено в корпоративном секторе, что делает уязвимости достаточно привлекательными для хакеров.

Сначала 16 февраля NGSSoftware опубликовала информацию о пяти уязвимостях в программных продуктах Oracle. Многие из обнаруженных дыр представляют серьезную опасность. Первая из уязвимостей касается сервера приложений Oracle 9i и носит критический характер. Направив на сервер определенным образом отформатированную строку с запросом, злоумышленник может захватить управление сервером.

Следующая дыра характеризуется высоким уровнем риска и связана с переполнением буфера функции TO_TIMESTAMP_TZ СУБД Oracle 9i. Аналогичная характеристика дается третьей и четвертой дырам в продуктах Oracle. Третья дыра связана с переполнением буфера функции bfilename, а четвертая - функции TZ_OFFSET. Если в команде, содержащей одну из этих функций, будет содержатся слишком длинный параметр, то произойдет ошибка, и злоумышленник сможет выполнить любой код, разрешенный политикой учетной записи, под которой запущена СУБД. Впрочем, для совершения атаки хакер должен быть подключен к базе данных как пользователь.

Пятая уязвимость содержится в сервере баз данных Oracle и связана с ошибкой переполнения буфера, возникающей в процессе аутентификации пользователей. По своей опасности эта дыра аналогична трем вышеупомянутым уязвимостям СУБД Oracle 9i, однако имеет более высокий - критический - рейтинг, так как для совершения атаки злоумышленнику необязательно знать имя пользователя и пароль. Практически все клиенты для подключения к серверам баз данных Oracle проверяют длину имени пользователя, так что для проведения атаки хакеру придется написать собственную клиентскую утилиту.

Перечень уязвимостей в продуктах Lotus был опубликован NGSSoftware 17 февраля. Три из этих четырех дыр носят критический характер и позволяют злоумышленнику выполнять от лица программных сервисов Lotus произвольный код. Первая из дыр в Lotus связана с наличием в службе перенаправления пользователя пакета Domino 6 возможности переполнения буфера. Запрашивая определенные документы или данные злоумышленник может произвести вызов функции перенаправления со слишком длинным параметром hostname (имя узла), что и вызовет ошибку. Особенно эта дыра опасна из-за того, что служба перенаправления по умолчанию доступна даже анонимным пользователям.

К аналогичным последствиям (захвату управления сервером Domino) может привести ошибка переполнения буфера в серверной части пакета для обмена сообщениями Lotus iNotes, возникающая из-за наличия чрезмерно длинного параметра в запросе к почтовой службе с веб-интерфейсом. Наконец, критическую опасность представляют два способа организации DoS-атак на веб-сервисы Domino.

Еще одна уязвимость среднего уровня опасности имеется в модуле ActiveX клиентской части iNotes. Она является следствием переполнения буфера функции InitializeUsingNotesUserName, которое злоумышленник может произвести с помощью электронного письма в формате HTML или особой веб-страницы. В результате, хакер способен захватить управление клиентской системой с правами работающего в данный момент пользователя.

Обо всех вышеперечисленных дырах NGSSoftware известила разработчиков ПО, которые выпустили соответствующие заплатки, которые можно найти на сайтах Oracle и Lotus. Lotus также выпустила обновленную версию пакета Domino с порядковым номером 6.0.1, в которой все вышеописанные дыры ликвидированы.

Смотрите также: Hi-Tech, Интернет, Hardware
 
Читайте также:

Microsoft начнет захват рынка сотовых телефонов с Китая

Приз за перенос Linux на Xbox может достаться Microsoft

Microsoft поторопилась выложить бету нового Office

Новый раунд судебных разбирательств между Palm и Xerox

Opera 7 поддерживает стандарты W3C лучше, чем Internet Explorer

Настоящая ICQ в мобильных телефонах


Вышел Roxio Easy CD & DVD Creator 6

QuarkXPress заработает под MacOS X

Производитель программы для копирования DVD начинает борьбу с пиратами

Ратифицирован стандарт обеспечения безопасности для XML

Компания Naumen выпустила открытую ERP/CRM-систему NauPR

Онлайновый магазин WalMart начал торговать коробками с Linux

В компьютеры встроят аварийное ПО для восстановления системы

Nero предлагает сетевое ПО для записи CD

Samsung вошла в долю в консорциуме Symbian

Opera отомстила Microsoft

Готовится к выходу вторая бета-версия нового MS Office

Linux готовится к прохождению сертификации на соответствие стандарту Common Criteria

Microsoft латает свой собственный патч

IBM лицензировала платформу Trolltech Qtopia для создания мобильных устройств на базе Linux

Какая судьба ждет Netscape, Mozilla и Gecko



Рассылки:
  Новости-почтой
  TV-Программа
  Гороскопы
  Job Offers
  Концерты
  Coupons
  Discounts
  Иммиграция
  Business News
  Анекдоты
Многое другое...

News Central Home | News Central Resources | Portal News Resources | Help | Login
Russian America Top Rating © 2024 RussianAMERICA Holding
All Rights Reserved • Contact