На прошлой неделе Oracle случайно разгласила сведения об опасной ошибке, которая еще не исправлена. Обычно компания держит проблемы безопасности в секрете и критикует тех исследователей, которые публично обсуждают ошибки в продуктах Oracle.

Но 6 апреля на своем веб-сайте для заказчиков MetaLink она сама опубликовала заметку с подробностями о неисправленной ошибке – об этом сообщил в понедельник независимый эксперт по безопасности, специализирующийся на продуктах Oracle, Александр Корнбраст (Alexander Kornbrust). Oracle подтвердила факт случайного постинга. «Информация об уязвимости была непреднамеренно опубликована на MetaLink, — сообщил представитель компании. — Мы расследуем причины этой оплошности».

Ошибка, о которой идет речь, касается версий 9.1.0.0 - 10.2.0.3 СУБД Oracle для всех операционных систем. В постинге не только говорилось об уязвимости, но и содержался код для ее тестирования, отмечает Корнбраст, который ведет базу данных Red Database Security в Германии и часто охотится на баги в продуктах Oracle.

Заметку из MetaLink убрали. Тем не менее проблема засвечена, и теперь информация о баге должна быть обнародована, убежден Корнбраст. «Администраторы и разработчики БД, не заставшие заметку в MetaLink, должны знать об этой уязвимости, чтобы исключить или уменьшить риск до выхода исправления Oracle».

Ошибка открывает возможности для повышения привилегий, то есть пользователи базы данных с ограниченными правами могут повысить их уровень. «В зависимости от архитектуры приложения можно модифицировать данные, для доступа к которым требуются повышенные привилегии — например, поменять пароль баз данных», — пишет Корнбраст.

Oracle еще не выпустила исправление, но во вторник должна выйти очередная редакция ее регулярного Critical Patch Update. «В следующем квартальном обновлении Critical Patch Update мы планируем предоставить нашим заказчикам патч, устраняющий эту уязвимость», — сказал представитель компании, но не смог уточнить, появится ли оно на предстоящей неделе.