image

Gartner: Oracle is geen security bolwerk meer

woensdag 25 januari 2006, 11:39 door Redactie, 2 reacties

Onderzoeksbureau Gartner waarschuwt systeembeheerders dat ze "agressiever" moeten zijn in het beschermen en beveiligen van hun Oracle applicaties, omdat ze niet genoeg hulp van de databasegigant krijgen.

De waarschuwing van Gartner komt een aantal dagen na de driemaandelijkse patchcyclus van Oracle, waarin 37 lekken werden gedicht. Sommige lekken werden door Oracle als zeer ernstig omschreven, wat betekent dat ze makkelijk te misbruiken zijn en een aanval grote gevolgen kan hebben.

"De omvang en ernst van de gepatchte lekken in deze update baart ons ernstig zorgen. Oracle heeft nog niet met een grootschalige security exploit te maken gehad, maar dat wil niet zeggen dat dit nooit zal gebeuren" aldus analist Rich Mogull.

De databasegigant heeft traditioneel een sterk security imago, en veel van Oracle's produkten bevinden zich "diep in de onderneming", waardoor systeembeheerders vaak nalatig zijn als het aankomt op het patchen. Gartner geeft daarom een aantal tips waar systeembeheerders zich aan moeten houden.

Reacties (2)
25-01-2006, 13:34 door Anoniem
Pfff.. waar wordt Oracle voor gebruikt? Juist, een back-end
database. Waar heeft het dus geen last van? Van het
achterlijke Windows klikvee. Waar wordt Oracle gebruikt?
Juist, bij voornamelijk corporate omgevingen. Wat hebben die
omgevingen? Juist, beveiliging in de ruimste zins des
woordes. In 99% van de gevallen heeft een Oracle database
geen direct contact met de buitenwereld. Er wordt vrijwel
altijd via connectors, listeners en front-ends gewerkt en
die worden niet zo snel 'malicious' als een Windows machine
die op een greetincard4you.jpg.scr klikt.

Dus wat heeft dit Gartner rapport te vertellen? Juist. Hete
lucht, brought to you by Microsoft SQL server.
25-01-2006, 18:07 door Anoniem
Toch knap dat het mensen lukt om bij een bericht waar de
software-bakkers uit redmond niet eens uit voorkomen toch
weer MS bash te plaatsen...

Overigens heb ik een demo gezien van een hack waarbij een
recente oracle server in 3 minuten geowned werd, door het
GE-ENCRYPTE verkeer tussen een client en een server te sniffen.

Diffie-Hellman is door oracle niet goed geimplementeerd, en
door een wildgroei van (root-)accounts is bruteforce
password hacking ook geen probleem...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.