یک حفره خطرناک در اوراکل

10 ژوئن – 21 خرداد

شرکت اوراکل – یکی از مشهورترین سازندگان پایگاه داده ( Database ) – به مشتریان خود هشدار داده است که آخرین نسخه از برنامه تجارت الکترونیکی این شرکت دارای یک مشکل امنیتی است که می تواند سیستم را با خطر مواجه کند.

این شرکت هفته گذشته در یک راهنمایی امنیتی مختصر اما مهم اعلام کرده است که یک حفره نرم افزاری در Oracle 11i E-Business Suite و Oracle Applications 11.0 وجود دارد که به یک هکر اجازه می دهد تا کنترل پایگاه داده پشتیبان برنامه ها را در اختیار بگیرد. در این راهنمایی آمده است :“ از آنجایی که هر کاربری با دسترسی به مرورگر و دانش خاص می تواند از این حفره برای نفوذ استفاده کند لذا میزان خطر بالا است.“ این شرکت جزئیات بیشتری را در اختیار نگذاشته است. همچنین اوراکل یک اصلاحیه برای پوشاندن این حفره ارائه کرده و بر نصب آن اصرار کرده است.

شرکت اطلاعات امنیتی Secunia نیز میزان خطر این حفره را بسیار خطرناک یا highly critical ارزیابی کرده است.

این حفره توسط استفان کوست – یکی از مدیران ارشد فناوری شرکت Integrigy – کشف شده است. در راهنمایی ارائه شده توسط این شرکت به سادگی استفاده از این حفره اشاره شده است و آمده است:“ از آنجایی که حملات را براحتی به شکلی می توان تغییر داد که برنامه های اوراکل تشخیص ندهند و از طرف دیگر حمله می تواند یک درخواست منفرد HTTP باشد ،‌لذا حملات موفق را می توان براحتی به شکلی طراحی نمود که بیشتر سیستم های تشخیص نفوذ را فریب دهند.“

اوایل سال گذشته میلادی ، شرکت Integrigy محصول امنیتی خود با نام AppSentry را برای Oracle's E-Business Suite ارائه کرد. همچنین یک سال پیش این شرکت اطلاعاتی را درباره دو حفره دیگر این محصول اوراکل ارائه کرده بود.