يك حفره خطرناك در اوراكل

10 ژوئن – 21 خرداد

شركت اوراكل – يكي از مشهورترين سازندگان پايگاه داده ( Database ) – به مشتريان خود هشدار داده است كه آخرين نسخه از برنامه تجارت الكترونيكي اين شركت داراي يك مشكل امنيتي است كه مي تواند سيستم را با خطر مواجه كند.

اين شركت هفته گذشته در يك راهنمايي امنيتي مختصر اما مهم اعلام كرده است كه يك حفره نرم افزاري در Oracle 11i E-Business Suite و Oracle Applications 11.0 وجود دارد كه به يك هكر اجازه مي دهد تا كنترل پايگاه داده پشتيبان برنامه ها را در اختيار بگيرد. در اين راهنمايي آمده است :“ از آنجايي كه هر كاربري با دسترسي به مرورگر و دانش خاص مي تواند از اين حفره براي نفوذ استفاده كند لذا ميزان خطر بالا است.“ اين شركت جزئيات بيشتري را در اختيار نگذاشته است. همچنين اوراكل يك اصلاحيه براي پوشاندن اين حفره ارائه كرده و بر نصب آن اصرار كرده است.

شركت اطلاعات امنيتي Secunia نيز ميزان خطر اين حفره را بسيار خطرناك يا highly critical ارزيابي كرده است.

اين حفره توسط استفان كوست – يكي از مديران ارشد فناوري شركت Integrigy – كشف شده است. در راهنمايي ارائه شده توسط اين شركت به سادگي استفاده از اين حفره اشاره شده است و آمده است:“ از آنجايي كه حملات را براحتي به شكلي مي توان تغيير داد كه برنامه هاي اوراكل تشخيص ندهند و از طرف ديگر حمله مي تواند يك درخواست منفرد HTTP باشد ،‌لذا حملات موفق را مي توان براحتي به شكلي طراحي نمود كه بيشتر سيستم هاي تشخيص نفوذ را فريب دهند.“

اوايل سال گذشته ميلادي ، شركت Integrigy محصول امنيتي خود با نام AppSentry را براي Oracle's E-Business Suite ارائه كرد. همچنين يك سال پيش اين شركت اطلاعاتي را درباره دو حفره ديگر اين محصول اوراكل ارائه كرده بود.