Oracle защитила от "Apache Killer" свои серверные продукты

Николай Головко 17 Сентября 2011 - 07:12

...

Несколько недель назад, в конце августа, компания исправила опасную уязвимость в веб-сервере Apache, результатом злонамеренного использования которой мог стать отказ в обслуживании. Теперь же выпущено внеочередное обновление для серверных решений Fusion Middleware и Application Server; они основаны на все том же Apache, а, следовательно, уязвимы для аналогичной атаки.

Напомним, что эксплойт-код под условным названием "убийца Apache" (Apache Killer) стал известен благодаря собственной эффективности: один персональный компьютер-клиент мог нарушить работоспособность любого сервера, работающего под управлением Apache. Из-за ошибок в механизме диапазонной загрузки отправка множества запросов на перекрывающиеся байтовые диапазоны вызывала неконтролируемый рост потребления системных ресурсов, что в конце концов приводило к отказу в обслуживании. До сей поры злоумышленники могли осуществить подобное нападение и на вышеупомянутое серверное ПО.

Исправление выпущено для Oracle Fusion Middleware 11g Release 1 (версии 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0), а также для Oracle Application Server 10g Release 3 (10.1.3.5.0) и Release 2 (10.1.2.3.0). В последнем случае уязвимость существует только тогда, когда с прилагаемого компакт-диска устанавливался Oracle HTTP Server 10g на базе Apache 2.0. Компонент Fusion Middleware присутствует также в программном продукте Oracle Enterprise Manager; если он не был исключен при инсталляции, то к нему также потребуется применить обновление. Компания-производитель рекомендует администраторам как можно скорее принять необходимые меры по доставке и установке патчей ввиду высокой степени риска.

Эксперты американской Национальной базы данных об уязвимостях, кстати, присвоили этому изъяну рейтинг опасности 7.8 - поскольку, по их мнению, результатом его эксплуатации может стать "полный отказ операционной системы в обслуживании". Сама компания-производитель в своем информационном бюллетене снизила данный показатель до 5.0, объяснив, что "полный отказ операционной системы невозможен ни на одной платформе, поддерживаемой Oracle". По словам ее официальных представителей, служба HTTP-сервера может пострадать от подобной атаки, но операционная система, под управлением которой работает сетевой узел, все равно продолжит работу.

eWeek

Письмо автору

Следующая главная новость »

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »

Татьяна Никитина 26 Декабря 2025 - 20:02

Корпорации UserGate

UserGate встретит Новый год с заделом под экспансию на российском ИБ-рынке

Компания UserGate подвела итоги развития бизнеса в 2025 году. Лидеру российского рынка решений по сетевой безопасности удалось не только укрепить свои позиции, но также заложить основу для освоения новых ИБ-ниш.

В уходящем году число штатных сотрудников UserGate возросло более чем на 40% и превысило 700 человек. Команда была усилена за счет привлечения известных специалистов — Михаила Кадера, Эльмана Бейбутова, Ильдара Садыкова (ранее возглавлял отдел экспертного обучения в Positive Technologies).

Флагман продуктового портфеля разработчика, UserGate NGFW, в течение года дважды обновлялся с целью расширения функциональности и устранения ошибок. Производительность аппаратных платформ UserGate для защиты периметра корпоративных сетей была повышена в два раза, началась массовая поставка таких версий — E1010, E3010, F8010.

На рынок выведены новые коммерческие продукты, UserGate DCFW и UserGate WAF; запущен сервис UserGate uFactor.

«Выделение UserGate DCFW в качестве отдельного продукта позволяет гибко развивать его исключительно под требования крупнейших организаций, — полагает Кирилл Прямов, менеджер по развитию NGFW в UserGate. — Например, в ближайших релизах мы реализуем виртуальные контексты, чего ждут от нас многие заказчики. В дальнейшем UserGate DCFW станет поддерживать платформы с аппаратным ускорением, в том числе новую модель с расчётной производительностью до 800 Гбит/с в режиме FW L4, которую мы планируем выпустить к 2027 году».

Вендор также открыл научно-исследовательские лаборатории по ИБ в ряде российских вузов и заключил аналогичное соглашение о сотрудничестве в Республике Беларусь. К слову, с 1 июня 2026 года подобная поддержка сферы образования со стороны ИТ-отрасли станет в России обязательной.

«В 2025 году мы достигли значительных успехов по всем направлениям работы, — констатирует Эльман Бейбутов, новый директор по развитию бизнеса ИБ-компании. — UserGate сегодня обладает развитой экосистемой продуктов, обширной экспертизой, квалифицированной командой разработки, бизнес-администрирования и менеджмента. У нас отличные позиции для освоения новых ниш, в которых мы только начинаем экспансию».

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »