Poważna luka w bezpieczeństwie oprogramowania Microsoft Exchange, winne rozwiązania Oracle

Przedstawiciele koncernu Microsoft przyznają, że błędy w bibliotekach bazodanowych, które Microsoft licencjonuje od koncernu Oracle, mogą wpłynąć na bezpieczeństwo systemów rodziny Exchange. Według zapewnień już niebawem udostępnione zostaną niezbędne poprawki. Do czasu ich instalacji Microsoft zaleca jednak wyłączenie części funkcji oprogramowania Exchange.

Biblioteki Oracle Outside In są wykorzystywane m.in. w ramach oprogramowania bazodanowego Oracle oraz środowiska warstwy pośredniej Oracle Fusion Middleware. Rozwiązania Oracle Outside In są także wykorzystywane w oprogramowaniu innych producentów - m.in. firmy Cisco, HP, IBM, Novell, a także McAfee oraz Kroll Ontrack. Z informacji amerykańskiego zespołu CERT wynika, że większość spośród wspomnianych firm stosownie zaktualizowała zagrożone aplikacje.

Biblioteki Oracle Outside In znajdują zastosowanie także w systemach linii Microsoft Exchange i oprogramowaniu FAST Search Server 2010 for Sharepoint. W przypadku środowiska Microsoft Exchange w wersji 2007 i 2010 chodzi o mechanizm WebReady Document Viewing, który umożliwia "podglądanie" treści dokumentów, bez konieczności uruchamiania odrębnej aplikacji. Przedstawiciele koncernu Microsoft zalecają wyłączenie funkcji podglądu załączników do czasu udostępnienia stosownej aktualizacji. Rozwiązania Oracle znajdują również zastosowanie w procesach indeksowania informacji w oprogramowaniu linii FAST. Z informacji zamieszczonych w serwisie Technet wynika, że wykorzystująca bibliotekę Oracle Outside In funkcja Advanced Filter Pack jest używana w kontekście zaawansowanego filtrowania indeksowanych treści. Według przedstawicieli koncernu Microsoft wykryte w bibliotece Oracle luki mogą okazać się niebezpieczne tylko dla instalacji oprogramowania FAST Search Server 2010 działającego w powiązaniu z platformą SharePoint 2010 w wersji SP1. Do czasu udostępnienia poprawki zalecane jest wyłączenie funkcji Advanced Filter Pack. Domyślnie jednak funkcjonalność ta jest nieaktywna.

Zobacz również:

  • Większa wydajność nie oznacza większego TCO
  • Ważna informacja dla użytkowników oprogramowania .NET 7
  • Najlepsze bezpłatne alternatywy dla pakietu Microsoft (Office) 365

Przedstawiciele koncernu Microsoft przyznają jednak, że wykorzystanie znanych luk w oprogramowaniu może pozwolić na zdalne uruchomienie odpowiednio spreparowanej aplikacji, czy pełny dostęp do danych. Według zapewnień trwają prace nad aktualizacją usuwającą luki w funkcjonalnościach wykorzystujących bibliotekę Oracle. Stosowne poprawki dla opartego na tych samych rozwiązaniach oprogramowania Oracle producent udostępnił w połowie lipca. Według oficjalnych informacji aktualizacja usuwa niemal 90 błędów w środowisku bazodanowym Oracle.

Obecny harmonogram aktualizacji oprogramowania firmy Microsoft zakłada, że kolejny pakiet poprawek zostanie udostępniony w połowie sierpnia. Niewykluczone jednak, że w drodze wyjątku koncern z Redmond zdecyduje się opublikować stosowne aktualizacje w terminie wcześniejszym.

Aktualizacja: 03 sierpnia 2012 16:03

Materiał uzupełniono o informacje na temat funkcji wykorzytujących bibliotekę Oracle Outside In.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200