Гигант СУБД опубликовал не только детали не обнародованной еще уязвимости своего флагманского продукта, но и код для ее тестирования. На прошлой неделе Oracle случайно разгласила сведения об опасной ошибке, которая еще не исправлена. Обычно компания держит проблемы безопасности в секрете и критикует тех исследователей, которые публично обсуждают ошибки в продуктах Oracle. Но 6 апреля на своем веб-сайте для заказчиков, под названием MetaLink, она сама опубликовала заметку с подробностями о неисправленной ошибке – об этом сообщил в понедельник независимый эксперт по безопасности, специализирующийся на продуктах Oracle, Александр Корнбраст (Alexander Kornbrust). Oracle подтвердила факт случайного постинга. «Информация об уязвимости была непреднамеренно опубликована на MetaLink, — сообщил представитель компании. — Мы расследуем причины этой оплошности». Ошибка, о которой идет речь, касается версий 9.1.0.0 - 10.2.0.3 СУБД Oracle для всех операционных систем. В постинге не только говорилось об уязвимости, но и содержался код для ее тестирования, отмечает Корнбраст, который ведет базу данных Red Database Security в Германии и часто охотится на баги в продуктах Oracle. Заметку из MetaLink убрали. Тем не менее проблема засвечена, и теперь информация о баге должна быть обнародована, убежден Корнбраст. «Администраторы и разработчики БД, не заставшие заметку в MetaLink, должны знать об этой уязвимости, чтобы исключить или уменьшить риск до выхода исправления Oracle». Ошибка открывает возможности для повышения привилегий, то есть пользователи базы данных с ограниченными правами могут повысить их уровень. «В зависимости от архитектуры приложения, можно модифицировать данные, для доступа к которым требуются повышенные привилегии — например, поменять пароль баз данных», — пишет Корнбраст.
Источник