Dvě třetiny správců databáze Oracle odmítají aktualizovat

20. 10. 2008

Sdílet

Oracle vydal pravidelnou čtvrtletní opravu bezpečnostních chyb ve svém databázovém a dalších softwaru. Celkem bylo uvolněno 36 oprav, 15 je určeno pro databázové produkty, 6 pro aplikační server a 5 pro sadu pro e-business. Zřejmě největším problémem je kritická chyba v doplňku Apache pro server WebLogic.

Oracle vydal pravidelnou čtvrtletní opravu bezpečnostních chyb ve svém databázovém a dalších softwaru. Celkem bylo uvolněno 36 oprav, což je v porovnání s jinými čtvrtletími spíše menší dávka. 15 oprav je určeno pro databázové produkty, 6 pro aplikační server a 5 pro sadu pro e-business. Zřejmě největším problémem je kritická chyba v doplňku Apache pro server WebLogic, který Oracle získal na počátku tohoto roku akvizicí společnosti Bea. Tato chyba je zneužitelná vzdáleně; totéž platí i pro 10 dalších chyb.
Jiné zranitelnosti umožňovaly útok na databázový server prostřednictvím SQL injection nebo přes buffer overflow.
Většina chyb k zneužití vyžaduje, aby útočník měl alespoň nějaká práva k aplikaci (z tohoto hlediska by se daly zařadit do kategorie eskalace oprávnění), to ale neznamená, že kvůli tomu nepředstavují hrozbu. Chyba v kombinaci WebLogic/Apache je ale zneužitelná bez jakéhokoliv oprávnění.
Zajímavé je, že celá řada záplat se vztahuje k chybám, které již byly opraveny v minulosti. Podle analytiků je příčinou to, že chyba je opravena nejprve na místě, pro které je reportována, a teprve později se zjistí, že má širší dosah a musí být látána napříč celým produktem/produktovou řadou.
Na rozdíl od oprav Microsoftu se opravy Oraclu údajně nasazují mnohem váhavěji. Především firmy s mnoha databázovými servery nechtějí do kritických aplikací v produkčním prostředí raději vrtat; váhají, dokud se o opravě neobjeví nějaké další informace a neprojde testem. Mnozí správci také vůbec nechtějí databáze dočasně vyřadit z provozu. Podle provedeného průzkumu až 2/3 správců databáze Oracle zásadně neaktualizuje vůbec, a to bez ohledu na to, o jak kritickou chybu se podle dodavatele jedná.
Další informace na stránkách Oracle

Zdroj: Computerworld.com

Viz také:
Aktualizovat je třeba všechny databázové servery Oracle
WebLogic v nebezpečí: exploit je na světě, oprava zatím ne

Autor článku