44 błędy Oracle

2 maja 2006 0 przez Michał Tomaszkiewicz

Programy Oracle – głównie flagowa baza danych – są wrażliwe na ataki z wykorzystaniem 44 luk.
Alexander Kornbrust z Red Database Security wymienił ponad czterdzieści poważnych błędów pozostających w oprogramowaniu Oracle. Niektóre z nich zostały zgłoszone ledwie 12 dni temu, część zaś czeka na łatkę już dwa i pół roku.

Wśród przedstawionych przez programistę bugów znalazł się szereg okoliczności narażających na sql injection czy niebezpieczeństw narażania na łatwy dostęp do nieszyfrowanych haseł. Wiele z nich ma zostać naprawionych przez nadchodzący CPU (Critical Patch Update) oraz przyszłe aktualizacje oprogramowania.

Podejście do spraw bezpieczeństwa prezentowane przez Oracle budzi niepokój branży. Brak jasno określonego rozkładu walki z niebezpiecznymi lukami i casus dwuletniego błędu nienaprawionego pomimo wydania trzech CPU powoduje, że specjaliści od bezpieczeństwa nie pochwalają prowadzonej przez przedsiębiorstwo polityki.