Correções da Oracle seriam insuficientes, dizem experts
Enviado: Sex, 21 Jan 2011 2:16 pm
Correções da Oracle seriam insuficientes, dizem experts
Enquanto o número de produtos cresce dramaticamente, alterações de segurança trimestrais diminuem
A Oracle liberou 66 correções nesta semana – 34 das quais podia ser explorada remotamente sem autenticação – envolvendo 28 produtos ou conjunto de produtos. Mas isso foi suficiente?
“No passado, quando o Oracle tinha muito menos produtos, eles soltavam cem correções de vulnerabilidades de base de dados por vez. Alguns chegariam à conclusão de que mais produtos exigiriam mais reparos, ainda assim estamos vendo menos correções com menos reparos para mais produtos”, blogou Amichai Shulma, CTO da Imperva.
Por exemplo, nesta semana a Oracle reparou seis vulnerabilidades em seus produtos de base de dados, dois dos quais podiam ser remotamente explorados sem autenticação. Além disso, o sólido E-Business Suite só recebeu dois reparos, enquanto o PeopleSoft e o JD Edwards receberam 12 correções. Tudo parecia ser suscetível a um ataque de SQL.
A Oracle liberou alguns detalhes sobre as vulnerabilidades especificadas, nada além de “devido à ameaça de um ataque bem-sucedido, a Oracle recomenda que os clientes apliquem os reparos o mais rápido possível.”
Shulman questiona a falta de detalhes adicionais. “Essa falta de transparência é um comportamento ultrajante. Os fornecedores esperam que pesquisadores compartilhem os detalhes com eles com responsabilidade, ainda assim eles falham ao fazer a mesma coisa com os fornecedores de segurança e clientes”, disse. “Sem essa informação, os clientes da Oracle não podem desenvolver uma solução alternativa para o seu aplicativo de produção e eu acho difícil de acreditar que uma companhia iria corrigir aplicações críticas sem meses de testes.”
Além disso, ele disse, a postura complica os esforços das organizações para lidar efetivamente com qualquer vulnerabilidade que haja em seu produto Oracle. Isso porque poucas empresas arriscariam instalar correções em seus sistemas de produtos. Em vez disso, cada correção exige semanas, se não meses de habilitação.
Mas uma vez que as atualizações de segurança são liberadas, os gerentes de TI estão numa corrida contra os criminosos para ver o que vem primeiro: teste e correções bem-sucedidos ou os invasores reverterem a engenharia das correções do Oracle e lançarem ataques que os explorem.
O que acontecerá primeiro? “As explorações poderão surgir nos próximos dias, mas nós teremos que esperar para ver. Infelizmente, vai levar muito mais tempo para as empresas testarem e implementarem estas correções em seu ambiente de produção”, disse Shulman.
A Oracle disse que o próximo lançamento trimestral de correções ocorrerá em 19 de abril.
fonte
Enquanto o número de produtos cresce dramaticamente, alterações de segurança trimestrais diminuem
A Oracle liberou 66 correções nesta semana – 34 das quais podia ser explorada remotamente sem autenticação – envolvendo 28 produtos ou conjunto de produtos. Mas isso foi suficiente?
“No passado, quando o Oracle tinha muito menos produtos, eles soltavam cem correções de vulnerabilidades de base de dados por vez. Alguns chegariam à conclusão de que mais produtos exigiriam mais reparos, ainda assim estamos vendo menos correções com menos reparos para mais produtos”, blogou Amichai Shulma, CTO da Imperva.
Por exemplo, nesta semana a Oracle reparou seis vulnerabilidades em seus produtos de base de dados, dois dos quais podiam ser remotamente explorados sem autenticação. Além disso, o sólido E-Business Suite só recebeu dois reparos, enquanto o PeopleSoft e o JD Edwards receberam 12 correções. Tudo parecia ser suscetível a um ataque de SQL.
A Oracle liberou alguns detalhes sobre as vulnerabilidades especificadas, nada além de “devido à ameaça de um ataque bem-sucedido, a Oracle recomenda que os clientes apliquem os reparos o mais rápido possível.”
Shulman questiona a falta de detalhes adicionais. “Essa falta de transparência é um comportamento ultrajante. Os fornecedores esperam que pesquisadores compartilhem os detalhes com eles com responsabilidade, ainda assim eles falham ao fazer a mesma coisa com os fornecedores de segurança e clientes”, disse. “Sem essa informação, os clientes da Oracle não podem desenvolver uma solução alternativa para o seu aplicativo de produção e eu acho difícil de acreditar que uma companhia iria corrigir aplicações críticas sem meses de testes.”
Além disso, ele disse, a postura complica os esforços das organizações para lidar efetivamente com qualquer vulnerabilidade que haja em seu produto Oracle. Isso porque poucas empresas arriscariam instalar correções em seus sistemas de produtos. Em vez disso, cada correção exige semanas, se não meses de habilitação.
Mas uma vez que as atualizações de segurança são liberadas, os gerentes de TI estão numa corrida contra os criminosos para ver o que vem primeiro: teste e correções bem-sucedidos ou os invasores reverterem a engenharia das correções do Oracle e lançarem ataques que os explorem.
O que acontecerá primeiro? “As explorações poderão surgir nos próximos dias, mas nós teremos que esperar para ver. Infelizmente, vai levar muito mais tempo para as empresas testarem e implementarem estas correções em seu ambiente de produção”, disse Shulman.
A Oracle disse que o próximo lançamento trimestral de correções ocorrerá em 19 de abril.
fonte
