Egy szakértő szerint buta biztonsági hibák maradtak az Oracle 11g adatbázisban
Egy szakértő szerint az Oracle vadonatúj adatbázisában, a 11g-ben bár sokat fejlesztettek a biztonságon, a programozók néhány egészen buta hibát hagytak a kódban, amely lehetővé teszi a támadók számára hogy adatokat lopjanak.
Buta hibák
"Az Oracle nagyot lépett előre a 11g-vel, de néhány sérülékenység amit találtam, csak buta programozói hiba" -- mondta Alexander Korbust, az Oracle adatbázisok biztonságára szakosodott Red Database Security ügyvezetője a Kuala Lumpurban zajló Hack In The Box biztonsági konferencián. "Az Oracle-nek képeznie kellene a saját fejlesztői csapatát, mert normális esetben ezek az egyszerű biztonsági sebezhetőségek elkerülhetők."
Kornbust állítása szerint több olyan sebezhetőséget is felfedezett az Oracle 11g-ben, amelyek ún. "SQL injection" technikával kihasználhatók, így a támadók ártó szándékú kódot futtathatnak. A szakértő emellett rábukkant arra is, hogyan lehet megkerülni az adatbázis auditálási funkcióját. Kornbust a konferencián bejelentette, hogy nem hozza nyilvánosságra felfedezéseinek részleteit egészen addig, amíg az Oracle ki nem javítja a sebezhetőségeket.
Időrabló javítás
Kornbust szerint az Oracle adatbázisokban talált hibák kijavítása rendkívül idő- és emberigényes, mivel széles körben használt, és szinte minden létező platformon futó szoftverről van szó, amely ráadásul kritikus szerepet játszik a felhasználók üzletmenetében. Egy német cégnél például 8 ezer Oracle adatbázist használ, itt egyetlen patch telepítése 32 ezer munkaórát vesz igénybe, amelyhez 60 adminisztrátorra van szükség, és ebben a tesztelés még nincs is benne.
Mivel az Oracle adatbázisa lényegében minden létező platformon megtalálható, a vállalat helyzete sem könnyű, hiszen minden operációs rendszerre és hardverre külön kell fejlesztenie. Így egy sebezhetőség befoltozásához akár 100 különböző javítást is ki kell adnia, hogy lefedje az összes támogatott hardver- és szoftverplatformot.