Oracle защитила от "Apache Killer" свои серверные продукты

Oracle защитила от "Apache Killer" свои серверные продукты

Несколько недель назад, в конце августа, компания исправила опасную уязвимость в веб-сервере Apache, результатом злонамеренного использования которой мог стать отказ в обслуживании. Теперь же выпущено внеочередное обновление для серверных решений Fusion Middleware и Application Server; они основаны на все том же Apache, а, следовательно, уязвимы для аналогичной атаки.


Напомним, что эксплойт-код под условным названием "убийца Apache" (Apache Killer) стал известен благодаря собственной эффективности: один персональный компьютер-клиент мог нарушить работоспособность любого сервера, работающего под управлением Apache. Из-за ошибок в механизме диапазонной загрузки отправка множества запросов на перекрывающиеся байтовые диапазоны вызывала неконтролируемый рост потребления системных ресурсов, что в конце концов приводило к отказу в обслуживании. До сей поры злоумышленники могли осуществить подобное нападение и на вышеупомянутое серверное ПО.

Исправление выпущено для Oracle Fusion Middleware 11g Release 1 (версии 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0), а также для Oracle Application Server 10g Release 3 (10.1.3.5.0) и Release 2 (10.1.2.3.0). В последнем случае уязвимость существует только тогда, когда с прилагаемого компакт-диска устанавливался Oracle HTTP Server 10g на базе Apache 2.0. Компонент Fusion Middleware присутствует также в программном продукте Oracle Enterprise Manager; если он не был исключен при инсталляции, то к нему также потребуется применить обновление. Компания-производитель рекомендует администраторам как можно скорее принять необходимые меры по доставке и установке патчей ввиду высокой степени риска.

Эксперты американской Национальной базы данных об уязвимостях, кстати, присвоили этому изъяну рейтинг опасности 7.8 - поскольку, по их мнению, результатом его эксплуатации может стать "полный отказ операционной системы в обслуживании". Сама компания-производитель в своем информационном бюллетене снизила данный показатель до 5.0, объяснив, что "полный отказ операционной системы невозможен ни на одной платформе, поддерживаемой Oracle". По словам ее официальных представителей, служба HTTP-сервера может пострадать от подобной атаки, но операционная система, под управлением которой работает сетевой узел, все равно продолжит работу.

eWeek

Письмо автору

Банки Беларуси с 1 июля будут собирать геолокацию клиентов

С 1 июля банки в Беларуси обязаны использовать антифрод-системы и собирать цифровой отпечаток устройств клиентов. В этот набор данных войдут модель устройства, версия ПО, параметры браузера, настройки системы и геолокация.

О новых требованиях сообщает БЕЛТА со ссылкой на Национальный банк Беларуси. Регулятор утвердил стандарт «Банковская деятельность. Обеспечение информационной безопасности. Цифровой отпечаток устройства».

Логика простая: если мошенник украл пароль, это еще не значит, что он сможет спокойно войти в онлайн-банк и вывести деньги. При первом входе клиента в систему дистанционного обслуживания банк формирует эталонный цифровой отпечаток устройства.

Если позже кто-то попытается войти с другого устройства, с подозрительными параметрами или подмененной геолокацией, антифрод-система должна заметить несоответствие и остановить операцию.

Доступ в таком случае будет заблокирован до подтверждения со стороны клиента. При этом количество устройств не ограничено: у пользователя может быть несколько эталонных отпечатков, например для смартфона, ноутбука и планшета.

Отдельно подчеркивается, что банки должны не просто уведомить клиентов о сборе геолокации, но и получить их разрешение. Собранные данные будут храниться в зашифрованном виде, не передаваться третьим лицам и использоваться только для антифрод-проверок при входе в банковские сервисы.

По сути, белорусские банки переходят к более жесткой проверке не только того, кто вводит пароль, но и откуда, с какого устройства и в каких условиях это происходит. Для клиентов это может добавить лишний шаг подтверждения, зато мошенникам станет заметно сложнее выдавать свой вход за обычную активность владельца счета.

RSS: Новости на портале Anti-Malware.ru