// CyberSecurity.ru // - Корпорация Oracle сегодня выпустила внеочередной набор исправлений для своих программных продуктов, устранив в ряде разработок критически опасные уязвимости, позволявшие проводить хакерские атаки за счет возможности организации DOS-атак. Согласно данным корпорации, все продукты, в которых была найдена уязвимость CVE 2011-5035, уже исправлены и их обновление рекомендуется всем пользователям.

Среди продуктов, затронутых уязвимостью, называются Oracle Application Server 10g Release 3 version 10.1.3.5.0, Oracle WebLogic  Server versions 9.2.4, 10.0.2, 11gR1, 12cR1, and Oracle iPlanet Web Server 7.0 и Oracle Java System Web Server 6.1. В компании отмечают, что ранее похожая уязвимость была устранена в Oracle GlassFish Server.

Изначально о данной уязвимости стало известно на проходившем в конце прошлого года в Германии Chaos Communication Congress. Аналогичная уязвимость была обнаружена в других популярных веб-приложениях, в частности в Microsoft's ASP.NET, Apache's Tomcat and Geronimo, PHP 4, Python, Plone, JRuby и других. Узязвимость заключается в том, что потенциальный атакующий может направить работающему серверному приложению специальный HTTP-запрос, содержащий "тысячи"значений, создающих на сервере хэш-таблицы столь большого размера, что все процессорные ресурсы оборудования уходят на их обработку, в результате чего аппаратный сервер становится недоступен.

Подробные данные об уязвимости доступны по адресу http://www.oracle.com/technetwork/topics/security/alert-cve-2011-5035-1506603.html