22 juli 2005
Red Database Security
stelt dat databaseproducent Oracle erg laks is met het repareren van
beveiligingsgaten. Het Duitse beveiligingsbedrijf heeft twee jaar
geleden een zestal gaten aan Oracle gemeld, maar die zijn nog altijd
niet gedicht. Oracle reageert met de stelling dat het problemen aanpakt
in volgorde van de ernst van de onderliggende kwestie en het mogelijke
gevaar ervan. Red Database is niet bepaald overtuigd en publiceert nu
details over de beveiligingsproblemen.
Oracle is erg verbolgen over de bekendmaking van deze technische
details. Red Database had volgens haar moeten wachten met openbaring
daarvan totdat er oplossingen of patches zijn gemaakt, zo redeneert het
bedrijf. De beveiligingsproblemen betreffen gaten in Oracle Reports en
Oracle Forms, onderdeel van de Applications Servers and Developers
Suites van de versies 9i en 10g van de Oracle Database. In april heeft
Red Database nog aangedrongen op snelle reparatie, maar Oracle heeft
daaraan geen gehoor gegeven. Het Amerikaanse beveiligingsbedrijf
Secunia, die veelal Microsoft-software kritisch doorneemt, acht de
Oracle-fouten redelijk kritiek (drie op een schaal van vijf). Red
Database zelf zegt dat drie van de fouten zeer kritiek zijn, twee
medium en n licht. De Red Database website
geeft overigens een aardig zicht op de tijd die Oracle nodig heeft om
‘gaten te dichten’. De op 19 juli 2005 gepubliceerde ‘advisories’
blijken als ‘not fixed’ te staan tussen de 663 en 718 dagen ! Ook
andere vermelde problemen hebben heel lang moeten wachten op een
oplossing. De kortste tijd benodigd voor het ‘fixen’ van een probleem
is 120 dagen ! De verongelijktheid van Oracle lijkt niet echt gepast,
als we afgaan op deze gegevens….