Oracle выпускает экстренное исправление для собственного HTTP-сервера
20.09.2011
Корпорация Oracle выпустила экстренный патч, исправляющий уязвимость, способную отключить собственный HTTP-сервер приложений, который в программном обеспечении Oracle базируется на Apache 2.0 и 2.2. В экстренном сообщении Oracle говорится, что эксплоит использует уязвимость, позволяющую обращаться к служебным данным без имени пользователя и пароля. Использовать уязвимость можно удаленно, что делает устраненный баг особенно опасным.
В сообщении корпорации говорится, что баг затрагивает продукты Oracle Fusion Middleware 11g Release 1, ver 11.1.1.3.0, 11.1.1.4.0 и 11.1.1.5.0; Oracle Application Server 10g Release 3, ver 10.1.3.5.0; и Oracle Application Server 10g Release 2, ver 10.1.2.3.0.
В Национальной базе данных уязвимостей США говорится, что уязвимость имеет CVSS-рейтинг 7,8, что означает "полный отказ в обслуживании для операционной." В прочем, в Oracle говорят, что реальный отказ в обслуживании для операционной системы невозможен, так как в худшем случае сбой происходит только в продукте самой компании. В итоге, сама компания обозначила рейтинг бага по CVSS Base Score на уровне 5 баллов.
Тем не менее, в корпорации признают, что баг оказался достаточно опасным для того, чтобы выпустить для него исправление ранее традиционного ежеквартального набора исправлений.
