Data: Poniedziałek, 11 lipca 2005, 01:20

Oracle usunął słabe punkty – poza dwoma

Z łącznie 89 dziur w bezpieczeństwie, które Oracle załatał w kwietniu w ramach swojego Critical Patch Update’a, pozostały dwie. Odkrył to David Litchfield, ekspert do spraw bezpieczeństwa i opublikował w Advisory (http://www.securityfocus.com/archive/1/404536).

W jednym przypadku błąd dotyczył pakietu Java, przy czym kwietniowy update blokował aktualizacje. Administrator może jednak zrobić to ręcznie; dotyczy to wszystkich platform. Kolejny problem związany jest z Windowsem (wersja 32- i 64-Bit). Tutaj niepożądana osoba może uzyskać przywileje administratora przez pakiet CTXSYS.DRILOAD i stosować dowolne komendy SQL. Kwietniowy update zawierał wprawdzie zaktualizowany skrypt SQL, kopiował go jednak do złego indeksu. Według Lichtfelda Oracle przedstawia w Supporcie (http://metalink.oracle.com/) na swoim portalu rozwiązanie.