پرشین هک

بنا بر اظهارات كارشناسان امنيتي،  پايگاه داده اراكل به دليل وجود يك حفره امنيتي اصلاح نشده و انتشار كدهاي مخرب آن در معرض خطر حمله قرار گرفته است.

به گزارش آژانس خبری پرشین هک از مشورت،اين حفره در پايگاه داده اراكل نسخه 10gR2 وجود دارد و توسط آزمايشگاه امنيتي آي ديفنس در هفته گذشته منتشر شده بود. آي ديفنس همچنين گفت كه نسخه هاي قبلي اين پايگاه داده نيز ممكن است در معرض خطر باشند.

سيمنتك درباره اين حفره به مشتريان خود هشدار داد. سيمنتك گفت:" كدهاي مخرب اين حفره پارامترهاي OWNER و Name در روال XDB.XDB_PITRIG_PKG.PITRIG_DROP METADATA را تحت تاثير قرار مي دهد. به خصوص در زمانيكه طول يك پارامتر از حد معمول بيشتر باشد مي تواند باعث سرريزي هاي بافري كه منجر به اجراي دستورات SQL گردند، شود."

بنا بر گزارش هايي كه به همراه كد آزمايشي اين حفره منتشر شده است ، براي يك حمله واقعي نياز به نام كاربري معتبر در پايگاه داده وجود دارد و يك حمله موفق نيز از راه دور امكان پذير است.

سيمنتك و آي ديفنس گزارش دادند كه شركت اراكل اظهار داشته است كه اين حفره را در پايگاه داده 10g به گونه اي از بين برده است و قرار نيست كه تا سه ماه بعدي اصلاحيه امنيتي براي نرم افزارهاي خود منتشر كند كه اين زمان در 15 ژانويه 2008 اتفاق خواهد افتاد.

سيمنتك در ادامه به مشتريان خود توصيه كرده است كه به دليل عدم وجود اصلاحيه امنيتي براي مراقبت هاي بيشتر از ابزارهاي IDS استفاده كنند.