Найдена критическая уязвимость в СУБД Oracle

Дэвид Литчфилд, глава исследовательского подразделения британской компании NGSSoftware, сообщил об обнаружении критической уязвимости в системе защиты баз данных от компании Oracle. Уязвимость позволяет хакерам получить удаленный доступ к секретной информации предприятий и госучреждений.

Эксперт рассказал об уязвимости в рамках своего выступления на конференции Black Hat, проходящей в Вашингтоне. Дэвид Литчфилд утверждает, что для установления полного контроля над базой атакующему не нужны пользовательские реквизиты и пароли. Более того, никакие межсетевые экраны не способны остановить злоумышленника.

Руководство Oracle было поставлено в известность о выявленной проблеме еще в ноябре прошлого года. Литчфилд надеялся, что корпоративные разработчики успеют устранить уязвимость в очередном наборе патчей. Эти обновления выпускаются ежеквартально, очередной комплект должен был увидеть свет в январе. После того как производитель СУБД не оправдал ожидания эксперта, Дэвид Литчфилд решил сделать материалы собственных исследований достоянием общественности.

Эксперт утверждает, что на данный момент 80% всех существующих баз данных Oracle уязвимы для атак извне. Однако, стоит отметить, что риску подвергаются лишь те хранилища, в которых используются настройки, заданные по умолчания. Смена этих настроек не позволит хакерам воспользоваться уязвимостью.

источник