Valutazione 4.87/ 5 (100.00%) 5838 voti
News: tutti i segreti di Internet

Oracle alle strette: oltre 30 falle scoperte

Condividi:         Xanathar 1 05 Agosto 04 @ 13:00 pm

Nella sicurezza dei dispositivi Oracle non si è aperta solo una piccola falla ma una vera e propria voragine: oltre 30 le falle annunciate (senza precisazioni ulteriori) ed una provvidenziale promessa di sollecita patch piomba sul polverone sollevatosi a chiudere la pericolosa vicenda senza morti nè feriti. Per ora.

David Litchfield, responsabile Next Generation Security Software Ltd., ha dichiarato di aver registrato nel passato ben 34 falle ai database Oracle, falle tuttora presenti. Il tutto sarebbe segnalato ai vertici Oracle nel Gennaio 2004, e solo 2 mesi fa una risposta è giunta a confermare quanto scoperto: a Litchfield viene notificato il fatto che la patch è pronta e i bug stanno dunque per essere chiusi. Da allora passano però ulteriori settimane, ed il pacchetto non trova distribuzione. Nè, tantomeno, viene data segnalazione delle falle all'utenza.

La scorsa settimana il problema è venuto a galla durante un intervento di David Litchfield al Black Hat di Las Vegas (conferenza incentrata sulla sicurezza informatica) ed oggi Oracle si è trovata ad ammettere il tutto. Lo fa in colpevole ritardo, ma nel contempo promette un sollecito intervento in merito.

La vicenda assume contorni preoccupanti soprattutto in quanto solo in Giugno l'azienda aveva già rilasciato un importante aggiornamento che andava ad intervenire proprio sull'aggiornamento dei prodotti nei quali erano stati riscontrati bug. C'è da attendersi ora il nuovo intervento, e nel frattempo tra Oracle e Litchfield è battaglia di parole. Mentre quest'ultimo accusa Oracle di aver lasciato in silente pericolo la propria utenza per troppo tempo, l'azienda replica sottolineando come siano oggi in troppi a crearsi un nome sulla scoperta di falle altrui (lanciando così ombre di sospetto sulle reali intenzioni che spingono ad indicare pubblicamente le falle emerse).

Le falle riscontrate sarebbero quasi tutte di grave importanza e pericolo: il controllo da remoto dei database sarebbe cosa possibile e l'exploit sarebbe costituito da un codice relativamente semplice. Per questo Litchfield punta il dito contro Oracle smontando il messaggio di indistruttibilità con cui l'azienda aveva voluto francobollare i propri sistemi nelle recenti campagne promozionali.

Fonte: Webnews
Articolo: link


News correlate a "Oracle alle strette: oltre 30 falle scoperte":


Un commento a "Oracle alle strette: oltre 30 falle scoperte":
mcavalieri mcavalieri il 05 Agosto 04 @ 13:48 pm

Solo qualche noticina:
chi e' cliente Oracle ha a sua disposizione un sito metalink.oracle.com dove segnalare problemi / scaricare patch etc...

Se un cliente apre una TAR (technical Assistant Request) in un tempo variabile tra i 3 e i 30 giorni (una mia tar e' rimasta aperta anche 240 giorni) in genere la falla si chiude.

In due anni io e il mio team siamo incappati in 76 BUG di cui 44 scoperti da noi.
Abbiamo aperto circa 350 TAR e abbiamo installato piu' di 700 patch.

Complimenti ai tester Oracle...

Lascia un commento

Insulti, volgarità e commenti ritenuti privi di valore verranno modificati e/o cancellati.
Nome:

Commento:
Conferma visiva: (ricarica)

Inserisci la targa della città indicata nell'immagine.

Login | Iscriviti

Username:

Password: