La semana de los fallos en Oracle


Siguiendo la estela del "mes de los fallos en navegadores" y del "mes de los errores en el núcleo", Cesar Cerrudo emprende una nueva campaña centrada en un solo producto: La semana de los bugs en Oracle (Week of Oracle Database Bugs) ha sido anunciada para principios de diciembre.





Como ya hiciera HD Moore en julio con su "mes de los fallos en los
navegadores", y LMH ahora en noviembre con la iniciativa "mes de los
errores en el núcleo" llega "la semana de fallos en Oracle" de la mano
de Cesar Cerrudo, director de Argeniss y experto en seguridad de bases
de datos.

La WoODB se centrará en la publicación de una vulnerabilidad o error
por día durante una semana, caracterizadas por no tener solución oficial
y ser desconocidas hasta el momento. El hecho de que la iniciativa sea
más corta que las anteriores no quiere decir que no existan errores
suficientes. Su creador indica que bien podrían hacer "el año de los
fallos en Oracle" sin ningún problema. Una semana, sin embargo, les ha
parecido suficiente para llamar la atención sobre el problema de
seguridad de Oracle, que no distribuye productos seguros ni sus
actualizaciones a tiempo. Añade que incluso la compañía miente sobre sus
esfuerzos de seguridad. Cerrudo también dice haber elegido Oracle por su
posición en el mercado, aunque aclara que la semana podría haber sido
dedicada a cualquier otro producto, porque asegura tener "0 days" para
otros sistemas de bases de datos. Aunque no lo mencione, parece obvio
que una de sus motivaciones añadidas es dar a conocer su empresa.

El proyecto ha recibido críticas negativas de Alexander Kornbrust,
experto de Red-Database-Security que piensa que no contribuirá a
mejorar la seguridad. Es muy poco probable que Oracle rompa su ciclo
trimestral de actualizaciones y por tanto no habrá nuevos parches hasta
enero o abril de 2007. Kornbrust también piensa que Oracle ha mejorado
la seguridad durante 2006.

Es cierto que Oracle ha mejorado su sistema de notificación de alertas
de seguridad, pero es más cuestionable que haya mejorado la seguridad en
sí. En su último paquete de actualizaciones, añadió más información a la
descripción de las vulnerabilidades respondiendo a una aclamada demanda
por parte de administradores de sus bases de datos, y reconociendo que
la forma en la que venía describiendo sus problemas de seguridad
resultaba manifiestamente mejorable. Ha rediseñado su sistema de
boletines ayudándose de CVSS (Common Vulnerability Scoring System), un
estándar que gradúa la severidad de manera estricta a través de fórmulas
establecidas.

Pero sin ir más lejos David Litchfield demostraba a través de un informe
hace unos días que Oracle sufre demasiados problemas de seguridad, que
van en aumento, y que tiene otros tantos que les queda por corregir. La
semana de fallos en Oracle será una pequeña muestra.

Más información:

The Week of Oracle Database Bugs
http://www.argeniss.com/woodb.html

After two 'Hole Months', now a 'Hole Week'
http://www.heise-security.co.uk/news/81412

(22/11/2006) Litchfield: Comparado con Oracle, Microsoft SQL Server es más seguro
http://www.hispasec.com/unaaldia/2951

Oracle ofrecerá más y mejor información en sus boletines de seguridad
http://www.hispasec.com/unaaldia/2915

Fuente:
Sergio de los Santos
hispasec.com



Otras noticias de interés:

Kaspersky: Virus Flame no puede afectar a usuario común
El virus Flame ha dado bastante que hablar desde su descubrimiento hace un par de semanas por parte de Kaspersky. Se trata de un virus espía con muchísimas habilidades, como la posibilidad de activar el bluetooth de un PC para robar los contactos d...
No descuidemos la seguridad en los sistemas VoIP
Según un reciente debate en línea sobre temas de seguridad, los expertos coinciden en que falta muy poco para que los sistemas de Voice Over IP (VoIP), sean inundados de spam, se abran a los piratas informáticos, y sean derribados por los gusa...
MS - Internet Explorer y el Content-Type!
Interesante artículo escrito por Jesus Lara en su blog sobre la polemíca solución que quiere imponer Microsoft en el Content-Type de las páginas web....
Declaración sobre ley de Software Libre y Formatos Abiertos en el Estado uruguayo
Declaración del Plenario Intersindical de Trabajadores (PIT) y Convención Nacional Trabajadores (CNT) sobre ley de Software Libre y Formatos Abiertos en el Estado...
Múltiples vulnerabilidades en MySQL
Dentro del boletín de actualizaciones de Oracle se han anunciado un total de 24 vulnerabilidades en el conocido gestor de base de datos MySQL, que podrían permitir a atacantes remotos provocar condiciones de denegación de servicio, así como acced...
Falso parche de Microsoft enlaza a un troyano
El Internet Storm Center del SANS Institute, reportó la aparición en las últimas horas, de numerosas muestras de un correo electrónico que parece ser enviado activamente en forma de spam....
El lado oscuro de las redes sociales
El diario The New York Times reportó, un mes atrás, tres casos de presuntas violaciones de menores que se originaron a través de Skout, una aplicación para iPhone que se presenta como un lugar de coqueteo. Frente a esta situación, la compañía ...
Mayoría de empresas no cifran data de portátiles
Muchas veces, al implantar medidas de seguridad o un sistema de gestión de la seguridad de la información (SGSI), solemos poner el foco en medidas alrededor de nuestra oficina: firewall, controles de acceso, gestión de permisos, control de nuestra...
Actualización de Firefox 3.5.3
Los desarrolladores de Mozilla han lanzado una actualización de Firefox; la versión 3.5.3, que corrige algunos problemas de estabilidad y vulnerabilidad....
Wikipedia a través de la consola
Wikipedia, la enciclopedia libre multilingüe basada en la tecnología wiki donde todos podemos editar por medio de aportaciones. Ahora la puedes consultar tambien desde tu consola (shell)....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fallos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • oracle
  • pgp
  • php
  • sabayon
  • seguridad
  • semana
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra