|
"Głupie błędy" w Oracle 11g |
|
|
|
"Firma Oracle dokonała znaczącego postępu w zakresie bezpieczeństwa przygotowując nową wersję - 11g - swojej bazy danych. W oprogramowaniu tym można jednak wciąż znaleźć sporo głupich błędów programistycznych, które sprawiają, że jest ono podatne na ataki" - powiedział Alexander Kornbrust, dyrektor niemieckiej firmy Red Database Security, w wywiadzie przeprowadzonym podczas konferencji Hack In The Box (HITB) Security Conference 2007, która odbywa się właśnie w Kuala Lumpur w Malezji.
"Ta firma powinna dokładnie przeszkolić swoje zespoły programistów, ponieważ na tym poziomie nie powinni oni robić tak prostych błędów związanych z bezpieczeństwem" - oświadczył Kornbrust. Warto wspomnieć, że firma, którą kieruje Alexander Kornbrust - Red Database Security - jest cenionym specjalistą w zakresie bezpieczeństwa produktów Oracle. Zajmuje się ona m.in. audytowaniem zabezpieczeń firm, które wdrożyły rozwiązania amerykańskiego koncernu.
Uwagi Kornbrusta dotyczące bezpieczeństwa najnowszej wersji bazy danych są wynikiem serii testów wersji 11g - zaowocowały one m.in. znalezieniem błędów typu 'SQL injection' oraz odkryciem sposoby na ominięciu niektórych zabezpieczeń wprowadzonych w nowej wersji bazy (m.in. systemów audytu kodu). Przedstawiciel Red Database Security zastrzegł, że większość tych problemów to wynik prostych i stosunkowo łatwych do unikęcia błędów popełnionych przez programistów Oracle'a.
Alexander Kornbrust poinformował, że wszystkie informacje na temat luk zostały już przekazane specjalistom z Oracle'a i dopóki firma nie upora się z tymi problemami, to żadne szczegółowe informacje o błędach nie zostaną ujawnione. Podczas konferencji Hack In The Box zaprezentowane zostaną jedynie ogólne metody obchodzenia nowych zabezpieczeń Oracle'a (chodzi m.in. o rozwiązania Oracle Database Vault and Oracle Audit Vault).
Kornbrust prognozuje, że załatanie błędów (gdy już Oracle przygotuje stosowne łatki) może potrwać wiele miesięcy - wynika to z faktu, iż oprogramowanie bazodanowe amerykańskiej firmy odgrywa w wielu przedsiębiorstwach kluczową rolę. Przedstawiciel Red Database Security podał przykład tylko jednego niemieckiego przedsiębiorstwa (klienta RDS), które korzysta w sumie z 8 tys. różnych baz danych. Załatanie ich wszystkich pochłonie ok. 32 tys. "osobogodzin" (szacując, że przeprowadzenie procesu uaktualnienia jednej bazy zajmie jednemu pracownikowi ok. 4 godzin). Co więcej, 32 tys. godzin zajmie w tej firmie samo instalowanie poprawek - a przecież takie uaktualnienia wymagają również przeprowadzenia testów.
Dodatkowy problem polega na tym, że Oracle ma w ofercie tak wiele wersji swojej bazy danych, że każdy z patchy usuwających błędy znalezione przez Red Database Security powinien zostać przygotowany (i przetestowany) przynajmniej w kilkudziesięciu wersjach (a w niektórych przypadkach nawet w 100). Warto przy okazji przypomnieć, iż koncern niedawno zapowiedział, iż zamierza powoli rezygnować z przygotowywania uaktualnień dla wszystkich wersji swoich produktów - Oracle zamierza łatać przede wszystkim najpopularniejsze programy. Łatki dla najrzadziej wykorzystywanych produktów mają być przygotowywane na życzenie użytkowników.
Źródło: http://securitystandard.pl |
