Британский эксперт в области инфобезопасности Дэвид Литчфилд (David Litchfield), управляющий директор компании Next-Generation Security Software, обнародовал информацию о выявленных им проблемах с обеспечением безопасности продуктов Oracle на прошлой неделе. Он не стал подробно описывать обнаруженные уязвимости, чтобы ими не воспользовались злоумышленники. «Дыры» имеют разную степень критичности – от высокой до низкой, от переполнении буфера и динамически распределяемой области до плохой защиты паролей. В отдельных случаях доступ к системе можно получить, вообще не вводя имени пользователя либо пароля. Пользователь с ограниченными правами доступа к системе может поэтапно повысить свой статус до уровня администратора.

Впервые г-н Литчфилд проинформировал Oracle о выявленных в ее ПО «дырах» еще в январе 2004 года, однако, несмотря на постоянные напоминания, корпорация до сих пор не выпустила ни одного исправления для указанных им проблем.

Дэвид Литчфилд начал активно следить за проблемами с безопасностью Oracle два года назад, когда компания начала маркетинговую компанию под девизом Unbreakable - «неуязвимая», стремясь подчеркнуть высокий уровень защищенности своей СУБД. Тогда г-н Личфилд, по его собственным словам, с помощью нескольких коллег менее чем за сутки выявил в продуктах корпорации около полусотни «дыр».

«Очевидно, не очень мудро для Oracle рекламировать собственные продукты как «неуязвимые», - полагает он. – Я знаю, что при этом удивленно вскидывают брови даже сотрудники компании. Однако маркетинг не всегда консультируется с разработчиками перед тем, как делать публичные заявления».

По словам британского эксперта, каждый, кто затратит время на изучение списков уже выпущенных компанией обновлений системы безопасности, сможет составить представление о степени уязвимости ее продуктов. Однако нежелание Oracle взглянуть правде в глаза вполне аналогично поведению большинства конкурентов компании, включая Microsoft, IBM, и многих других «китов» ИТ-рынка. Эксперт заметил, что в этом плане Oracle мог бы многое почерпнуть у Microsoft в плане лексики. «Microsoft традиционно является большой мишенью, - заметил он, - и несет от этого значительный ущерб. Однако Microsoft сумела выработать более эффективный подход к разрешению этих проблем, и в настоящее время обошла остальных игроков на рынке по своей способности адекватно реагировать на возникающие проблемы».

Представители Oracle, в свою очередь, пообещали справиться с обнаружившимися проблемами в самом ближайшем будущем. «Oracle очень серьезно подходит к вопросам безопасности и, хотя мы и надежно обеспечиваем защищенность наших продуктов, всегда стремимся делать это как можно лучше, - говорится в специальном заявлении компании. – Oracle уже ликвидировал проблемы, и в ближайшее время будет выпущено соответствующее предупреждение». «Заплатку» для критической уязвимости, обнаруженной в пакете Oracle 11i E-Business Suite, компания выпустила в июне этого года

Источник: SecurityLab.ru