Во вторник Oracle, в рамках своего квартального цикла выпуска исправлений, предложила заплатки для длинного перечня пробелов в защите многих своих продуктов.
Кроме секьюрити-патчей, Oracle внесла «значительные» изменения в инструмент контроля за учетными записями и паролями по умолчанию. Он вышел в январе в ответ на появление червя баз данных Oracle voyager , который использует эти параметры по умолчанию.
«Несколько из перечисленных уязвимостей опасны, и их следует устранить как можно скорее, — пишет в предупреждении для пользователей своей аналитической службы DeepSight поставщик ПО безопасности Symantec. — Oracle не предлагает никаких обходных решений для этих проблем».
В этом квартале число исправлений меньше, чем в предыдущие кварталы, отмечает эксперт по безопасности Пит Финниган (Pete Finnigan). Oracle сообщает мало подробностей, но Финниган заметил, что большинство багов СУБД относится к механизму присвоения имен некондиционным пакетам.
Он отмечает также, что хотя Oracle выпустила свой бюллетень, поправки для всех продуктов на всех операционных системах появятся только к 1 мая. «По-моему, нехорошо, что Oracle выпускает рекомендации, советуя заказчикам исправить свои базы данных, но многим из них придется подождать, — пишет Финниган. — Это уже не ежеквартальный план исправлений, если сами исправления задерживаются».
Производителя корпоративного ПО критикуют за медленное исправление ошибок и за отказ сотрудничать с нашедшими их экспертами. Директор по безопасности Oracle Мэри-Энн Дэвидсон говорит на это, что с точки зрения безопасности продуктов, охотники за багами сами могут стать проблемой.
В своем бюллетене компания выражает благодарность ряду
исследователей, сообщивших об уязвимостях. В их числе Александр
Корнбраст (Alexander Kornbrust ) из Red Database Security, Стефан
Мартинес Файо (Esteban Martinez Fayo) из Application Security и Дэвид
Личфилд (David Litchfield) из Next Generation Security Software,
который сообщил об уязвимостях, найденных им в Oracle Database, в
постинге в список почтовой рассылки Full Disclosure.
zdnet.ru