Злоумышленник может завладеть базой данных Oracle 8i, а если это компьютер под Windows, то и всей системой.
Сотрудники Covert Labs, подразделения принадлежащей Network Associates компании PGP Security, обнаружили уязвимость и присвоили ей степень риска high (высокая). Oracle признала наличие проблемы, исправила ее в версии 9i своего ПО и выпустила поправку для более ранних версий.
"Это очень опасная уязвимость для пользователей Oracle", - сказал менеджер по исследованиям в области защиты информации PGP Security Джим Магдич (Jim Magdych). Он рассказал, что проблема кроется в компоненте СУБД, называемом listener, который управляет связью между пользователями базы данных и СУБД. Атакующий посылает больше информации, чем допускает программа, что приводит к так называемому "переполнению буфера". В этом случае лишние символы записываются в память компьютера и, поместив в нужную часть памяти нужные команды, атакующий может заставить процессор предоставить ему доступ к системе. В данном случае он может получить привилегии, позволяющие читать и модифицировать любые записи в базе данных.
На системе Windows СУБД Oracle пользуется очень широкими правами, так что атакующий, по словам Магдича, может захватить полный контроль над системой. На Unix-системах у Oracle меньше полномочий, но и здесь вход в СУБД может стать полезным плацдармом для последующих атак, сообщает "ZDNet".
