В Oracle нашли серьезную «дыру» // 17 Ноября 2012

Эксперт в области информационной безопасности сообщил о найденной им уязвимости в системе защиты повсеместно используемых баз данных от компании Oracle. Обнаруженная брешь позволяет хакерам получить удаленный доступ к секретной информации предприятий и госучреждений.

«Самое популярное в мире ПО для хранения информации в электронном виде не лишено недостатков. Критический «баг» в СУБД Oracle позволяет кибер-преступникам проникать в закрытые базы данных через Интернет», - утверждает Дэвид Литчфилд (David Litchfield), глава исследовательского подразделения британской компании NGSSoftware.

Эксперт рассказал об уязвимости в рамках своего выступления на конференции Black Hat, проходящей в Вашингтоне. Дэвид Литчфилд утверждает, что для установления полного контроля над базой атакующему не нужны пользовательские реквизиты и пароли. Более того, никакие межсетевые экраны не способны остановить злоумышленника.

Руководство Oracle было поставлено в известность о выявленной проблеме еще в ноябре прошлого года. Литчфилд надеялся, что корпоративные разработчики успеют устранить уязвимость в очередном наборе патчей. Эти обновления выпускаются ежеквартально, очередной комплект должен был увидеть свет в январе. После того как производитель СУБД не оправдал ожидания эксперта, Дэвид Литчфилд решил сделать материалы собственных исследований достоянием общественности.

По мнению Дэвида Литчфилда, на данный момент 80 процентов всех существующих баз данных Oracle уязвимы для атак извне. Стоит, впрочем, отметить, что риску подвергаются лишь те хранилища, в которых используются настройки, заданные по умолчания. Смена этих настроек не позволит хакерам воспользоваться уязвимостью.

По материалам сайта Reuters.