Gartner: Oracle is geen security bolwerk meer
Onderzoeksbureau Gartner waarschuwt systeembeheerders dat ze "agressiever" moeten zijn in het beschermen en beveiligen van hun Oracle applicaties, omdat ze niet genoeg hulp van de databasegigant krijgen.
De waarschuwing van Gartner komt een aantal dagen na de driemaandelijkse patchcyclus van Oracle, waarin 37 lekken werden gedicht. Sommige lekken werden door Oracle als zeer ernstig omschreven, wat betekent dat ze makkelijk te misbruiken zijn en een aanval grote gevolgen kan hebben.
"De omvang en ernst van de gepatchte lekken in deze update baart ons ernstig zorgen. Oracle heeft nog niet met een grootschalige security exploit te maken gehad, maar dat wil niet zeggen dat dit nooit zal gebeuren" aldus analist Rich Mogull.
De databasegigant heeft traditioneel een sterk security imago, en veel van Oracle's produkten bevinden zich "diep in de onderneming", waardoor systeembeheerders vaak nalatig zijn als het aankomt op het patchen. Gartner geeft daarom een aantal tips waar systeembeheerders zich aan moeten houden.
database. Waar heeft het dus geen last van? Van het
achterlijke Windows klikvee. Waar wordt Oracle gebruikt?
Juist, bij voornamelijk corporate omgevingen. Wat hebben die
omgevingen? Juist, beveiliging in de ruimste zins des
woordes. In 99% van de gevallen heeft een Oracle database
geen direct contact met de buitenwereld. Er wordt vrijwel
altijd via connectors, listeners en front-ends gewerkt en
die worden niet zo snel 'malicious' als een Windows machine
die op een greetincard4you.jpg.scr klikt.
Dus wat heeft dit Gartner rapport te vertellen? Juist. Hete
lucht, brought to you by Microsoft SQL server.
software-bakkers uit redmond niet eens uit voorkomen toch
weer MS bash te plaatsen...
Overigens heb ik een demo gezien van een hack waarbij een
recente oracle server in 3 minuten geowned werd, door het
GE-ENCRYPTE verkeer tussen een client en een server te sniffen.
Diffie-Hellman is door oracle niet goed geimplementeerd, en
door een wildgroei van (root-)accounts is bruteforce
password hacking ook geen probleem...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.