Correções da Oracle seriam insuficientes, dizem experts

Notícias relacionadas a Oracle, banco de dados, tecnologia, segurança, etc.
victorhugomuniz
Moderador
Moderador
Mensagens: 1396
Registrado em: Sex, 01 Fev 2008 2:06 pm
Localização: Rio de Janeiro - RJ
Contato:
:D

Correções da Oracle seriam insuficientes, dizem experts

Enquanto o número de produtos cresce dramaticamente, alterações de segurança trimestrais diminuem

A Oracle liberou 66 correções nesta semana – 34 das quais podia ser explorada remotamente sem autenticação – envolvendo 28 produtos ou conjunto de produtos. Mas isso foi suficiente?

“No passado, quando o Oracle tinha muito menos produtos, eles soltavam cem correções de vulnerabilidades de base de dados por vez. Alguns chegariam à conclusão de que mais produtos exigiriam mais reparos, ainda assim estamos vendo menos correções com menos reparos para mais produtos”, blogou Amichai Shulma, CTO da Imperva.

Por exemplo, nesta semana a Oracle reparou seis vulnerabilidades em seus produtos de base de dados, dois dos quais podiam ser remotamente explorados sem autenticação. Além disso, o sólido E-Business Suite só recebeu dois reparos, enquanto o PeopleSoft e o JD Edwards receberam 12 correções. Tudo parecia ser suscetível a um ataque de SQL.

A Oracle liberou alguns detalhes sobre as vulnerabilidades especificadas, nada além de “devido à ameaça de um ataque bem-sucedido, a Oracle recomenda que os clientes apliquem os reparos o mais rápido possível.”

Shulman questiona a falta de detalhes adicionais. “Essa falta de transparência é um comportamento ultrajante. Os fornecedores esperam que pesquisadores compartilhem os detalhes com eles com responsabilidade, ainda assim eles falham ao fazer a mesma coisa com os fornecedores de segurança e clientes”, disse. “Sem essa informação, os clientes da Oracle não podem desenvolver uma solução alternativa para o seu aplicativo de produção e eu acho difícil de acreditar que uma companhia iria corrigir aplicações críticas sem meses de testes.”

Além disso, ele disse, a postura complica os esforços das organizações para lidar efetivamente com qualquer vulnerabilidade que haja em seu produto Oracle. Isso porque poucas empresas arriscariam instalar correções em seus sistemas de produtos. Em vez disso, cada correção exige semanas, se não meses de habilitação.

Mas uma vez que as atualizações de segurança são liberadas, os gerentes de TI estão numa corrida contra os criminosos para ver o que vem primeiro: teste e correções bem-sucedidos ou os invasores reverterem a engenharia das correções do Oracle e lançarem ataques que os explorem.

O que acontecerá primeiro? “As explorações poderão surgir nos próximos dias, mas nós teremos que esperar para ver. Infelizmente, vai levar muito mais tempo para as empresas testarem e implementarem estas correções em seu ambiente de produção”, disse Shulman.
A Oracle disse que o próximo lançamento trimestral de correções ocorrerá em 19 de abril.

fonte
Responder
  • Informação
  • Quem está online

    Usuários navegando neste fórum: Nenhum usuário registrado e 38 visitantes