Ny Oracle-database åpen for angrep

Ny Oracle-database åpen for angrep

Oracles nye database, 11g, har flere alvorlige svakheter, advarer sikkerhetsekspert.

Alexander Kornbrust jobber som sikkerhetsekspert for store selskaper med omfattende Oracle-installasjoner. Han påstår nå at han har funnet flere sikkerhetshull i Oracles siste databaseversjon, 11g.

- Oracle har gjort store fremskritt med 11g, men noen av sårbarhetene jeg har funnet så langt er idiotiske programmeringsfeil. Oracle må utdanne sitt utviklingsteam, sa Kornburst under Hack In The Box-konferansen i Malaysia.

Ifølge Computerworlds nyhetstjeneste er svakhetene av arkitekturisk karakter. Kornburst skal i en demonstrasjon senere i uken fortelle om hvordan slike problemer kan åpne for ondsinnede angrep.

Kan bli dyrt

Det kan fort koste flesk å rette på disse problemene. Kornburst eksemplifiserte det hele ved å vise til et tysk selskap med 8000 Oracle-databaser. I et slikt tilfelle vil det koste 32 000 timer med arbeidskraft for å rulle ut en enkelt patch på alle databasene. I tillegg kommer kostnader i forbindelse med testing på hver database.

Oracle har etter hvert kommet med følgende uttalelse:

Oracle undersøker for tiden Alexander Kornbrusts påstander om svakheter i 11g. I mellomtiden vil vi benytte anledningen til å minne våre kunder på viktigheten av vår Critical Patch Update (CPU), samt nødvendigheten av å implementere de tekniske sikkerhetskonfigurasjonene som anbefales i ressursbiblioteket på Oracle Software Security Assurance-nettsidene.

LES OGSÅ: 46 patcher fra Oracle denne uken

Les om:

Enterprise