Digital Security: Новые уязвимости Oracle

17.07.2009

Пакет ежеквартальных обновлений, выпущенный корпорацией Oracle 14 июля 2009 года, содержит обновления, закрывающие уязвимости, найденные специалистами Digital Security.

Специалисты DSec Research Group – внутреннего подразделения компании Digital Security, специализирующиеся на анализе защищенности и поиске уязвимостей в различных приложениях и системах, в очередной раз получили благодарность от компании Oracle за найденные в ее продуктах уязвимости:

Oracle Critical Patch Update Advisory - July 2009

Credit Statement

The following people or organizations discovered and brought security vulnerabilities addressed by this Critical Patch Update to Oracles attention: Anonymous of TippingPoint (3com); Esteban Martinez Fayo of Application Security, Inc.; Kowsik Guruswamy of Mu Security; Joxean Koret; Alexander Kornbrust of Red Database Security; David Litchfield of NGS Software; Oleg P. of HSC Security Portal; Alexandr Polyakov of Digital Security; noderat ratty; and Dennis Yurichev.

http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html

“В данном обновлении закрыты обнаруженные нами уязвимости средней степени критичности. Из других уязвимостей закрытых в обновлении, следует обратить особое внимание на ряд уязвимостей в Службе листенера, которые позволяют провести удалённую атаку, не имея авторизационных данных. Уязвимости (CVE-2009-1020, CVE-2009-1019, CVE-2009-1963) оценены в 9, 7.5 и 7.5 баллов по метрике CVSS v2. Рекомендуется всем пользователям СУБД установить последние обновления или ограничить доступ к листенеру по IP адресам. Более подробно о защите листенера и СУБД Oracle в целом, можно прочитать в недавно вышедшей книге “Безопасность Oracle глазами аудитора: нападение и защита”. Также следует отметить, что уязвимости высокой степени критичности, обнаруженные сотрудниками DSecRG и затрагивающие бизнес приложения Oracle, на данный момент анализируются, и их исправления будут доступны в следующих выпусках пакетов обновлений”, - прокомментировал руководитель исследовательского подразделения DSec Research Group Александр Поляков.

Это уже четвертая официальная благодарность DSec Research Group от компании Oracle за последние 2 года:

http://www.dsecrg.ru/pages/about/references/