Oracle выпустила внеочередное исправление для ряда своих продуктов
03.02.2012
Корпорация Oracle сегодня выпустила внеочередной набор исправлений для своих программных продуктов, устранив в ряде разработок критически опасные уязвимости, позволявшие проводить хакерские атаки за счет возможности организации DOS-атак. Согласно данным корпорации, все продукты, в которых была найдена уязвимость CVE 2011-5035, уже исправлены и их обновление рекомендуется всем пользователям.
Среди продуктов, затронутых уязвимостью, называются Oracle Application Server 10g Release 3 version 10.1.3.5.0, Oracle WebLogic Server versions 9.2.4, 10.0.2, 11gR1, 12cR1, and Oracle iPlanet Web Server 7.0 и Oracle Java System Web Server 6.1. В компании отмечают, что ранее похожая уязвимость была устранена в Oracle GlassFish Server.
Изначально о данной уязвимости стало известно на проходившем в конце прошлого года в Германии Chaos Communication Congress. Аналогичная уязвимость была обнаружена в других популярных веб-приложениях, в частности в Microsoft-s ASP.NET, Apache-s Tomcat and Geronimo, PHP 4, Python, Plone, JRuby и других. Узязвимость заключается в том, что потенциальный атакующий может направить работающему серверному приложению специальный HTTP-запрос, содержащий "тысячи"значений, создающих на сервере хэш-таблицы столь большого размера, что все процессорные ресурсы оборудования уходят на их обработку, в результате чего аппаратный сервер становится недоступен.
Подробные данные об уязвимости доступны по ссылке.
