Oracle защитила от "Apache Killer" свои серверные продукты

Николай Головко 17 Сентября 2011 - 07:12

...

Несколько недель назад, в конце августа, компания исправила опасную уязвимость в веб-сервере Apache, результатом злонамеренного использования которой мог стать отказ в обслуживании. Теперь же выпущено внеочередное обновление для серверных решений Fusion Middleware и Application Server; они основаны на все том же Apache, а, следовательно, уязвимы для аналогичной атаки.

Напомним, что эксплойт-код под условным названием "убийца Apache" (Apache Killer) стал известен благодаря собственной эффективности: один персональный компьютер-клиент мог нарушить работоспособность любого сервера, работающего под управлением Apache. Из-за ошибок в механизме диапазонной загрузки отправка множества запросов на перекрывающиеся байтовые диапазоны вызывала неконтролируемый рост потребления системных ресурсов, что в конце концов приводило к отказу в обслуживании. До сей поры злоумышленники могли осуществить подобное нападение и на вышеупомянутое серверное ПО.

Исправление выпущено для Oracle Fusion Middleware 11g Release 1 (версии 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0), а также для Oracle Application Server 10g Release 3 (10.1.3.5.0) и Release 2 (10.1.2.3.0). В последнем случае уязвимость существует только тогда, когда с прилагаемого компакт-диска устанавливался Oracle HTTP Server 10g на базе Apache 2.0. Компонент Fusion Middleware присутствует также в программном продукте Oracle Enterprise Manager; если он не был исключен при инсталляции, то к нему также потребуется применить обновление. Компания-производитель рекомендует администраторам как можно скорее принять необходимые меры по доставке и установке патчей ввиду высокой степени риска.

Эксперты американской Национальной базы данных об уязвимостях, кстати, присвоили этому изъяну рейтинг опасности 7.8 - поскольку, по их мнению, результатом его эксплуатации может стать "полный отказ операционной системы в обслуживании". Сама компания-производитель в своем информационном бюллетене снизила данный показатель до 5.0, объяснив, что "полный отказ операционной системы невозможен ни на одной платформе, поддерживаемой Oracle". По словам ее официальных представителей, служба HTTP-сервера может пострадать от подобной атаки, но операционная система, под управлением которой работает сетевой узел, все равно продолжит работу.

eWeek

Письмо автору

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Татьяна Никитина 14 Января 2026 - 14:51

Соответствие законодательству РФ Общее

В России хотят криминализировать отсутствие IMEI в договоре о связи

Минцифры РФ подготовило законопроект, вводящий уголовную ответственность за отсутствие IMEI в договоре об оказании услуг связи иностранцу или лицу без гражданства, действия которого повлекли ущерб в размере не менее 5 млн рублей.

Как выяснили «Ведомости», регулятор предлагает наказывать за подобное упущение штрафами от 300 тыс. до 500 тыс. руб. и даже тюремным заключением на срок до одного года. Новая инициатива выдвинута в рамках борьбы с телефонным мошенничеством.

Кто именно будет нести ответственность за отсутствие IMEI в договоре — продавец сим-карты, салон связи, дилер, телеоператор, законопроект не уточняет. По всей видимости, нарушителя будут определять в ходе разбирательства.

По закону «О связи» в текущей редакции, в договоре об оказании услуг, заключенном с иностранным гражданином либо лицом без гражданства, должен быть указан идентификатор устройства (IMEI), в котором будет использоваться российская сим-карта. В противном случае номер могут заблокировать.

Поправки, внесенные в ФЗ в 2024 году, обязали операторов связи провести проверку сведений о таких абонентах и привести договоры в соответствие норме до 1 июля 2025 года.

По данным Сбербанка, в 2025 году объём краж в результате дистанционного мошенничества увеличился на 15–20%, а общий ущерб мог составить 340–360 млрд рублей.

В пояснительной записке к новому законопроекту авторы отметили, что большинство схем обмана по телефону имеют транснациональный характер, и используемые мошенниками кол-центры находятся в основном за рубежом. Регистрация IMEI под угрозой уголовного преследования должна осложнить получение симок мошенниками.

Напомним, в этом году в рамках второго пакета мер противодействия мошенничеству Минцифры планирует запустить единую базу IMEI, позволяющую более точно определять, где и как используется мобильная связь.

На днях стало известно о еще одной инициативе Минцифры в рамках борьбы с телефонным мошенничеством: регулятор предложил увеличить штрафы до 1 млн руб. за продажу сим-карт в неположенных местах (сейчас предел за такое правонарушение составляет 500 тыс. рублей).

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »