• Tweet

Como el número de vulnerabilidades en este producto se incrementa, Oracle esta a la defensiva.

Cuando alguien ataca los sistema IT de la compañía, los atacantes están generalmente tras de una cosa: la información,

Perder la información de los empleados, clientes, propiedad intelectual o estrategia de negocios de bases de datos bien almacenadas han estado típicamente relacionado con el trabajo interno realizado por empleados con un cierto nivel de acceso al sistema de base de datos. Este sigue siendo el caso, pero las bases de datos se vuelven mas vulnerables al mundo a través de las aplicaciones basada en Web las cuales demandan acceso rápido a la información y las bases de datos se mueven cerca del perímetro de la red, abriéndose a los ataques en la red.

Nadie siente la presión de esta amenaza más que Oracle, el cual comanda el 41% del mercado de bases de datos relacionales. La compañía ha tenido que luchar con un número creciente de vulnerabilidades de seguridad no solo de la base de datos sino también con su línea entera de productos. El lanzamiento de la mas reciente actualización critica libera 82 parches de vulnerabilidades dirigidas al manejador de base de datos, servidor de aplicación, suite de colaboración, suite e-bussines y productos Enterprise Manager, así como productos heredados de sus adquisiciones PeopleSoft y JD Edwards.La actualización previa, en Octubre, direcciono 85 vulnerabilidades, el mas alto numero desde que Oracle comenzó a ofrecer actualizaciones criticas en Enero del 2005.

La naturaleza de varias de estas vulnerabilidades, así como el reporte de huecos y prácticas de actualizaciones de Oracle, han levantado las banderas entre los investigadores de seguridad y algunos clientes. Todos reconocen que no hay ninguna amenaza de gusano conocido que este amenazando con dar de baja las bases de datos Oracle y que Oracle tiene un record fuerte cuando se trata de seguridad. Pero también saben que las amenazas son más peligrosas y el incremento de las regulaciones del gobierno está llevando a cabo compañías responsables por la santidad de ambos Internet y los datos de clientes.

Las preocupaciones mas serias que se relacionan con la seguridad de los sistemas de bases de datos Oracle fueron expresadas en Enero, cuando varios investigadores y analistas tomaron como tarea los huecos en productos y las políticas de actualización de Oracle, David Litchfield, director de manejo de Next Generation Security Software, dio una presentación en Black Hat conference sobre una nueva vulnerabilidad en la extensión Procedural Language para SQL de Oracle y publico una breve descripción del problema para las listas de correo de seguridad Bugtraq y Full Disclosure. El hueco, al cual Litchfield llamo critico, miente en el gateway Oracle PLSQL y puede permitir a un atacante tomar el control de un servidor de bases de datos Oracle a través de un servidor Web comprometido.

Litchfield procedió a publicar en bugtraq las soluciones propuestas que los usuarios podrían implementar para evitar que la vulnerabilidad fuera explotada, pero Oracle quien contradijera estas soluciones que mantienen ciertas aplicaciones e-bussines de trabajar apropiadamente. Oracle planea reparar el hueco en una actualización crítica por venir pero no ha dicho si la corrección estará disponible a tiempo para la próxima actualización en Abril. La compañía dice que esta podría ser liberada en una actualización de emergencia para el problema de PLSQL. Fuente: Information Week  JGG/ANS