Biztonsági rés az Oracle 8i-ben

Tóth Kristóf, 2001. július 9. 22:29
Biztonsági szakértők és kutatók egy csoportjának az Oracle 8i adatbázis-kezelő programban egy olyan biztonsági rést sikerült felfedezniük, mely lehetővé teszi, hogy egy esetleges külső támadást követően a rosszindulatú támadó átvegye az irányítást a szoftver felett, sőt rosszabb esetben, ha a számítógépen Windows operációs rendszer van telepítve, a teljes rendszer felett is egyeduralkodóvá válhat a betolakodó.
A szoftverben megbúvó alattomos hibára a Network Associates cég PGP biztonsági részlegéhez tartozó Covert Labs szakemberei bukkantak rá, és a hibát azonnal meg is jelölték, mint egy magas veszélyességi szintű biztonsági rést. Az Oracle cég képviselői azonnal elismerték a problémát, melyet egyébként a szoftver legújabb 9i verziójában már kijavítottak, a korábbi verziójú szoftverekhez pedig gyorsan kiadtak egy hibajavító csomagot.

"Egy nagyon komoly biztonsági problémáról van szó, mely rendkívüli kellemetlenségeket okozhat azoknak a felhasználóknak, akik nem értesültek a biztonsági rés létezéséről, vagy tudnak róla, de esetleg nem orvosolják a problémát" - nyilatkozta az üggyel kapcsolatban Jim Magdych, a PGP Security biztonsági rendszerek fejlesztésével foglalkozó szakembere.

Magdych elmondta, hogy a probléma akkor lép fel, amikor az Oracle adatbázis-kezelő szoftvere az úgynevezett "lister" modult meghívja, mely modul az adatbázist használó felhasználók és az adatbázis belső kommunikációjáért felelős. A probléma lényege, hogy puffertúlcsordulás következhet be, ha több információ érkezik a modulon keresztül, mint amennyire a szoftver számít. Ebben az esetben a várt mennyiségen felüli adatok a számítógép memóriájában tárolódnak el, ami a szakértők szerint számos veszélyt rejthet magában, ugyanis a képzettebb támadók olyan kis utasításokat helyezhetnek el ebben az adatfolyamban, melyek aztán a memóriából könnyedén futtathatók, és innen már csak pár lépés, és a betolakodó akár az egész számítógép felett is átveheti az uralmat. Ekkor nagyon sok függ attól, hogy az Oracle szoftver milyen operációs rendszer alatt fut, ugyanis Windows alatt nagyon könnyű lehet a rosszindulatú felhasználók dolga. Az Oracle ezért nyomatékosan felhívja minden érintett figyelmét, hogy telepítse fel a rábízott számítógépekre a nemrégiben megjelent patchet.

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59