Oracle отчиталась о работе над ошибками

Опубликовав информацию о 39 уязвимостях в своих продуктах, Oracle обещает исправления в ближайшие недели.

Во вторник Oracle, в рамках своего квартального цикла выпуска исправлений, предложила заплатки для длинного перечня пробелов в защите многих своих продуктов. Critical Patch Update содержит патчи для 14 уязвимостей, связанных с продуктами Oracle Database, пяти, относящихся к Collaboration Suite, одной — в Application Server, 15 — в E-Business Suite and Applications, двух — в Enterprise Manager, одной — в корпоративном портале от PeopleSoft, и еще одной — в ПО JD Edwards.

Кроме секьюрити-патчей, Oracle внесла «значительные» изменения в инструмент контроля за учетными записями и паролями по умолчанию. Он вышел в январе в ответ на появление червя баз данных Oracle voyager, который использует эти параметры по умолчанию.

«Несколько из перечисленных уязвимостей опасны, и их следует устранить как можно скорее, — пишет в предупреждении для пользователей своей аналитической службы DeepSight поставщик ПО безопасности Symantec. — Oracle не предлагает никаких обходных решений для этих проблем».

В этом квартале число исправлений меньше, чем в предыдущие кварталы, отмечает эксперт по безопасности Пит Финниган (Pete Finnigan). Oracle сообщает мало подробностей, но Финниган заметил, что большинство багов СУБД относится к механизму присвоения имен некондиционным пакетам.

Он отмечает также, что хотя Oracle выпустила свой бюллетень, поправки для всех продуктов на всех операционных системах появятся только к 1 мая. «По-моему, нехорошо, что Oracle выпускает рекомендации, советуя заказчикам исправить свои базы данных, но многим из них придется подождать, — пишет Финниган. — Это уже не ежеквартальный план исправлений, если сами исправления задерживаются».

Производителя корпоративного ПО критикуют за медленное исправление ошибок и за отказ сотрудничать с нашедшими их экспертами. Директор по безопасности Oracle Мэри-Энн Дэвидсон говорит на это, что с точки зрения безопасности продуктов, охотники за багами сами могут стать проблемой.

В своем бюллетене компания выражает благодарность ряду исследователей, сообщивших об уязвимостях. В их числе Александр Корнбраст (Alexander Kornbrust ) из Red Database Security, Стефан Мартинес Файо (Esteban Martinez Fayo) из Application Security и Дэвид Личфилд (David Litchfield) из Next Generation Security Software, который сообщил об уязвимостях, найденных им в Oracle Database, в постинге в список почтовой рассылки Full Disclosure.

Предыдущие публикации:

2006-04-12

Oracle случайно проговорилась о дыре в базе данных

В продолжение темы:

2006-04-27

Исправленная СУБД Oracle все равно остается уязвимой

Обсуждение и комментарии

	observer 20 Apr 2006 9:47 AM
"Дэвидсон говорит на это, что с точки зрения безопасности продуктов, охотники за багами сами могут стать проблемой." Да, гораздо лучше если баги останутся невидимыми! :)

	bravomail.livejournal.com 20 Apr 2006 5:40 PM
Наблюдатель - смысл в том, что независимые искатели багов не должны лезть напрямую в Оракл. Им надо повсюду в вебе, в ньюс-конфах и емейл-рассылках рассказывать о багах во всех подробностях с приложенным эксплойтом. Затем люди в больших конторах (не Оракл) проверят и обратятся к своему руководству. А уже те пошлют на х. Оракл.

← март 2006

13 14 17 18 19 20 21 23 24

май 2006 →