La base de datos reparada de Oracle aún en riesgo, dice investigador de seguridad

1 2 3 4 5 6

Volver a listado de noticias

Últimas Noticias

Wikipedia estará fuera de línea en protesta por ley estadounidense 17-Ene-2012
Hackers difunden malware en sitios de juego para niños 17-Ene-2012
Protege tu cuenta de Facebook del último ataque de intrusión 17-Ene-2012
Revelan nombres de los desarrolladores de Koobface 17-Ene-2012

La base de datos reparada de Oracle aún en riesgo, dice investigador de seguridad

Zdnetasia.com 27-Abr-2006

La última actualización de Oracle falla al no corregir un defecto de la base de datos que ya ha sido explotado, advierte un investigador de seguridad

La semana pasada, el fabricante de software de negocios publicó su Parche Crítico de Actualización trimestral, en el que se reparan más de 30 bugs en su software. Sin embargo, la actualización para el Oracle 10g Release 2 no corrige un defecto que permite que el código de ataque publicado funcione, según un mensaje enviado a la lista de seguridad Full Disclosure el miércoles por David Litchfield, investigador de la compañía Next Generation Security Software.

Los intrusos podrían obtener privilegios altos en un sistema por medio de este nuevo defecto en la extensión de exportación de la base de datos (DBMS) -un componente que ha sido, repetidamente, una fuente de problemas, escribió Litchfield.

Otras versiones de 10g también pueden ser afectadas, dijo Symantec en una alarma enviada a los usuarios de su servicio de inteligencia DeepSight.

"Alentamos fuertemente a los administradores de la base de datos a que revoquen los permisos públicos de ejecución para la extensión de la exportación del DBMS hasta que un parche esté disponible para esta edición," aconseja la compañía de seguridad.

Oracle no respondió a este comentario.

Litchfield expresó frustración por la respuesta de Oracle al problema, en el lanzamiento de Oracle 10g. "Este bug fue reportado a Oracle el 19 de febrero de 2006", escribió Litchfield.

Dio los detalles de otros problemas relacionados con la edición y dijo que Oracle había intentado, pero no pudo corregir el problema desde el primer reporte divulgado en abril de 2004.

Los investigadores de seguridad han criticado a Oracle por ser lentos en el proceso de los parches y por no desarrollarlos bien, lo que entorpece el objetivo de reparar los bugs de seguridad. En respuesta, Mary Ann Davidson, oficial principal de seguridad del fabricante de software de negocios, ha dicho que los investigadores pueden ser un bloqueo que entorpece la seguridad del producto.

Fuente: Zdnetasia.com EPA/RAQ

Volver a listado de noticias