Oracle cảnh báo lỗi an ninh trong hệ thống 9i

Thứ sáu, 22 Tháng tám 2003, 10:20 GMT+7
  • Oracle canh bao loi an ninh trong he thong 9i

    Thông qua lỗ hổng này, những cuộc tấn công vào hệ điều hành có thể gây rối loạn máy chủ. Hôm 18/8, Oracle đã phát hành bản vá lỗi và công cụ cảnh báo để phòng ngừa nguy cơ tràn bộ đệm trong cơ sở dữ liệu (CSDL) dùng ngôn ngữ XML của các máy 9i.

    Lỗ hổng an ninh trên chỉ ảnh hưởng tới các máy chủ Oracle 9i của đợt sản xuất thứ 2. Những máy đợt 1 và phiên bản trước hoàn toàn không bị nguy cơ tấn công.

    Những người biết sử dụng Oracle với dụng ý xấu có thể khai thác khiếm khuyết này để tung ra các cuộc tấn công từ chối dịch vụ, làm gián đoạn hoạt động của máy chủ CSDL hoặc kiểm soát được khu vực hoạt động của một người sử dụng khác trên hệ thống này. Theo David Litchfield, chuyên gia của hãng an ninh Next Generation Security Software (Anh), một khi đã xảy ra, tình trạng tràn bộ đệm sẽ giúp kẻ tấn công hoàn toàn kiểm soát những dữ liệu lưu trong hệ thống để sao chép, sửa đổi hoặc xóa thông tin.

    Máy chủ 9i cho phép khách hàng của Oracle sau khi gửi yêu cầu tới CSDL của hãng sẽ nhận được phản hồi ở định dạng XML. Đối với một số hệ điều hành như Windows của Microsoft, lỗ hổng sẽ tạo điều kiện cho tin tặc khống chế hoàn toàn các máy tính trong hệ CSDL. Không cần account cũng như password vẫn có thể khai thác điểm yếu này trên 9i, chỉ cần các máy chủ chạy FTP (giao thức truyền file) và HTTP (giao thức truyền siêu văn bản) đang hoạt động trên CSDL XML. Đây là những dịch vụ được cài đặt và kích hoạt mặc định trên các máy chủ CSDL 9i và không thể hủy bỏ một cách riêng lẻ. Lỗi tràn bộ đệm trong mã truy nhập vào máy chủ chạy FTP và HTTP cũng cho phép hacker vô hiệu hóa máy chủ CSDL bằng cách gửi bổ sung tên người sử dụng dài hơn và những password kết hợp.

    Oracle cho biết khả năng bị tấn công từ Internet đối với máy 9i qua lỗ hổng này gần như là không có, trừ khi hệ thống không có tường lửa. Điểm yếu chỉ bị khai thác trong phạm vi mạng nội bộ. Tuy nhiên, do máy chủ CSDL giữ vai trò trung tâm trong hệ thống của các doanh nghiệp nên rất khó phân biệt giữa một kẻ tấn công từ xa và trong nội bộ.

    Nếu một doanh nghiệp sử dụng Oracle 9i cho website của mình thì tin tặc có thể kiểm soát những phần công cộng của website đó trong hệ thống, sau đó mới bất ngờ tấn công từ bên trong. Công ty Oracle cũng như chuyên gia Litchfield đều khuyến cáo khách hàng thực hiện ngay chương trình vá lỗi càng sớm càng tốt.

    Phan Khương (theo InfoWorld)

    Việt Báo
    Ý kiến bạn đọc

    Viết phản hồi

    Nhận xét tin Oracle cảnh báo lỗi an ninh trong hệ thống 9i

    Bạn có thể gửi nhận xét, góp ý hay liên hệ về bài viết Oracle cảnh báo lỗi an ninh trong hệ thống 9i bằng cách gửi thư điện tử tới vietbao.vn. Xin bao gồm tên bài viết Oracle canh bao loi an ninh trong he thong 9i ở dạng tiếng Việt không dấu. Hoặc Oracle cảnh báo lỗi an ninh trong hệ thống 9i ở dạng có dấu. Bài viết trong chuyên đề Tin Tổng Hợp của chuyên mục Công Nghệ.

    Bài viết mới:

    Các bài viết khác:

       TIẾP THEO >>
    VIỆT BÁO - CÔNG NGHỆ - TIN TỔNG HỢP