Frissítésre szorulnak az Oracle szoftverei

Az Oracle - ellentétben például a Microsoft havi gyakorisággal kiadott frissítéseivel - negyedévente teszi közé a különféle szoftvereihez tartozó hibajavításokat. A cég ezúttal a legnépszerűbb alkalmazásainak esetében orvosolt sérülékenységeket. Összesen 78 hibát javított, amelyek közül 27 minősült kritikus veszélyességűnek. Ezek a sebezhetőségek távoli károkozásokra adhatnak lehetőséget, és több esetben hitelesítések megkerülését tehetik lehetővé.

Az Oracle többek között az alábbi termékeihez adott ki patch-eket:
- Database Server 10g/11g
- Fusion Middleware
- Enterprise Manager Grid Control
- Application Server
- Identity Management
- Secure Backup
- E-Business Suite
- Supply Chain
- Solaris
- PeopleSoft Enterprise
- VirtualBox.

A cég közleménye szerint a fejlesztők a Database Server esetében 13 sérülékenységet szüntettek meg. Ezek közül kettő kihasználásával a támadóknak jogosulatlan távoli műveletvégrehajtásra nyílhat lehetőségük anélkül, hogy érvényes felhasználónevet és jelszót kellene megadniuk. Amennyiben sikerül kiaknázniuk a hibákban számukra rejlő lehetőségeket, akkor adatbázisokhoz férhetnek hozzá. A Database termékek mellett jó néhány sebezhetőségtől szabadultak meg az Enterprise Manager Grid Control, a Fusion Middleware és a PeopleSoft Enterprise alkalmazások valamint a Suntól "örökölt" megoldások is.

Kritikák kereszttűzében az Oracle

A mostani hibajavítások kapcsán Josh Shaul, az Application Security műszaki igazgatója is felszólalt, aki nemtetszését fejezte ki az Oracle fejlesztéseinek biztonságát illetően. "Jelentős mennyiségű patch vált elérhetővé, melyek olyan sérülékenységeket is megszüntetnek, amik szinte minden Oracle adatbázist tartalmazó rendszert veszélyeztetnek. A kihasználásukkal le lehet állítani az adatbázisokat, vagy teljes mértékben át lehet venni az azok feletti irányítást. A legrosszabb azonban ezekben a sebezhetőségekben, hogy némelyik akkor jelent kockázatot, ha az Oracle biztonsági megoldásait az ügyfelek korábban telepítették" - mondta a szakember annak kapcsán, hogy ezúttal a Database Vault és a Secure Backup esetében is felmerültek hibák. "Az Oracle a legnagyobb és a legnépszerűbb adatbázis-fejlesztő vállalat. Több érzékeny adat kezelésében játszik szerepet, mint bármely más cég. Mi keményen fellépünk azért, hogy jobb munkát végezzen az adatbiztonság terén. Már többször összeszólalkoztunk az Oracle-lel, de a legfontosabb, hogy végül olyan platformot teremtsenek, amelyben az adatokat az ügyfelek biztonságosan tárolhatják" - tette hozzá Shaul.

Jeffrey Wheatman, a Gartner adatbázis-biztonsági elemzője viszont nem lát különösebb kivetnivalót az Oracle biztonsági lépéseiben. "Az Oracle az elmúlt három évben olyan folyamatokat vezetett be, amelyek felismerhetővé és javíthatóvá teszik a sérülékenységeket még a fejlesztés során. Nincs olyan szoftver, amely 100 százalékosan biztonságos lenne. Nincs tökéletes kód. De úgy gondolom, hogy az Oracle jó munkát végez a sebezhetőségek orvoslása terén" - mondta Wheatman.

Az Application Security szakemberei már megvizsgálták az Oracle által kiadott patch-eket, és azokat hatékonynak találták. A cég ezért azt javasolta az Oracle rendszerek üzemeltetői számára, hogy mihamarabb telepítsék fel a frissítéseket.

További információk az Isidor Biztonsági Központ weboldalain olvashatók.