2 lata ignorancji

20 lipca 2005 0 przez Artur Wyrzykowski

Niemiecka firma Red Database Security ujawniła informacje o sześciu lukach w oprogramowaniu Oracle, znanych już od 650 dni! Red Database Security specjalizuje się w bezpieczeństwie produktów Oracle, wykryła luki w komponentach Oracle Forms i Oracle Reports w lipcu i wrześniu 2003 r., ale opieszałość producenta w poprawianiu błędów skłoniła w końcu firmę do ujawnienia szczegółów. Trzy z sześciu luk zostały uznane za groźne, ponieważ pozwalają włamać się do serwera aplikacji lub nadpisać pliki znajdujące się na nim.

Firma Oracle oświadczyła, że najlepszym sposobem ochrony przed atakami byłoby niepublikowanie informacji o lukach przed udostępnieniem łat (pozostawiamy to bez komentarza). Natomiast Red Database Security, podając informacje o błędach, zaproponował także tymczasowe sposoby zabezpieczenia systemów z wadliwym oprogramowaniem.