据软件安全研究员称,由于一个无法修补的漏洞和可利用代码错误,Oracle的旗舰数据库软件有可能遭到广泛的攻击。VeriSign's iDefense 实验室在上周发现了Oracle Database 10gR2的这个漏洞,并警告用户,该软件的早期版本也可能受到威胁。
Symantec公司已经警告其客户,“XDB.XDB_PITRIG_PKG.PITRIG_DROP METADATA”进程的“OWNER”和“NAME”两个参数会受到该问题的影响。特别是如果这两个参数合并后的长度过大,那么当执行一个SQL查询时,将会有一个缓冲区溢出。虽然这个攻击需要到数据库进行认证,但是成功的攻击能够远程执行代码。概念验证式攻击代码早在一个星期前就被发布到网络上了。
Oracle公司声称在Database 10g中已经修复了这个代码缺陷,但不会在下一个Critical Patch Update(每季度升级一次)发布之前发布补丁,而下一个Critical Patch Update的发布时间定于2008年1月15日。
Symantec建议用户在补丁发布之前最好部署网络入侵监测系统(IDS)以便监测恶意活动的流量,并且只允许可信任的雇员访问数据库。
阅读(301) | 评论(0) | 转发(0) |