La semana de los fallos en Oracle


Siguiendo la estela del "mes de los fallos en navegadores" y del "mes de los errores en el núcleo", Cesar Cerrudo emprende una nueva campaña centrada en un solo producto: La semana de los bugs en Oracle (Week of Oracle Database Bugs) ha sido anunciada para principios de diciembre.





Como ya hiciera HD Moore en julio con su "mes de los fallos en los
navegadores", y LMH ahora en noviembre con la iniciativa "mes de los
errores en el núcleo" llega "la semana de fallos en Oracle" de la mano
de Cesar Cerrudo, director de Argeniss y experto en seguridad de bases
de datos.

La WoODB se centrará en la publicación de una vulnerabilidad o error
por día durante una semana, caracterizadas por no tener solución oficial
y ser desconocidas hasta el momento. El hecho de que la iniciativa sea
más corta que las anteriores no quiere decir que no existan errores
suficientes. Su creador indica que bien podrían hacer "el año de los
fallos en Oracle" sin ningún problema. Una semana, sin embargo, les ha
parecido suficiente para llamar la atención sobre el problema de
seguridad de Oracle, que no distribuye productos seguros ni sus
actualizaciones a tiempo. Añade que incluso la compañía miente sobre sus
esfuerzos de seguridad. Cerrudo también dice haber elegido Oracle por su
posición en el mercado, aunque aclara que la semana podría haber sido
dedicada a cualquier otro producto, porque asegura tener "0 days" para
otros sistemas de bases de datos. Aunque no lo mencione, parece obvio
que una de sus motivaciones añadidas es dar a conocer su empresa.

El proyecto ha recibido críticas negativas de Alexander Kornbrust,
experto de Red-Database-Security que piensa que no contribuirá a
mejorar la seguridad. Es muy poco probable que Oracle rompa su ciclo
trimestral de actualizaciones y por tanto no habrá nuevos parches hasta
enero o abril de 2007. Kornbrust también piensa que Oracle ha mejorado
la seguridad durante 2006.

Es cierto que Oracle ha mejorado su sistema de notificación de alertas
de seguridad, pero es más cuestionable que haya mejorado la seguridad en
sí. En su último paquete de actualizaciones, añadió más información a la
descripción de las vulnerabilidades respondiendo a una aclamada demanda
por parte de administradores de sus bases de datos, y reconociendo que
la forma en la que venía describiendo sus problemas de seguridad
resultaba manifiestamente mejorable. Ha rediseñado su sistema de
boletines ayudándose de CVSS (Common Vulnerability Scoring System), un
estándar que gradúa la severidad de manera estricta a través de fórmulas
establecidas.

Pero sin ir más lejos David Litchfield demostraba a través de un informe
hace unos días que Oracle sufre demasiados problemas de seguridad, que
van en aumento, y que tiene otros tantos que les queda por corregir. La
semana de fallos en Oracle será una pequeña muestra.

Más información:

The Week of Oracle Database Bugs
http://www.argeniss.com/woodb.html

After two 'Hole Months', now a 'Hole Week'
http://www.heise-security.co.uk/news/81412

(22/11/2006) Litchfield: Comparado con Oracle, Microsoft SQL Server es más seguro
http://www.hispasec.com/unaaldia/2951

Oracle ofrecerá más y mejor información en sus boletines de seguridad
http://www.hispasec.com/unaaldia/2915

Fuente:
Sergio de los Santos
hispasec.com



Otras noticias de interés:

Dorkbot, el malware más detectado
Con un poco más de seis meses de vida, Dorkbot se ha vuelto en el malware que más veces se ha detectado en toda América Latina, según dio a conocer la empresa de investigación ESET Latinoamérica....
Microsoft "ataca" de nuevo
Extraoficialmente podemos decir que a mediados del año próximo (Julio-2002) saldrá a la luz lo que por el momento se conoce con el nombre de Whistler (el nombre oficial será Windows XP), nombre en código que está usando Microsoft para esta vers...
Honeypots para Google
El Google Hack Honeypot (GHH) es la reacción a un nuevo tipo de tráfico web malicioso: el uso de Google como buscador para hackers. GHH está pensado para proporcionar una forma de reconocer ataques usados por los buscadores para localizar recursos...
Sun certificará a UBUNTU
Sun Microsystems ha anunciado que certificará la compatibilidad de sus servidores con el software de la distribución Linux....
Liberado Script Que Controla Chat Mipunto.com, Taima.com y otros.
Lo prometido es Deuda...el equipo el aquipo de ORVTech.COM en conjunto con LinuxEvolution.Org liberaron el script con el que se puede manipular los parámetros de los chats de CANTV.NET - TAIMA.COM - Y VENEVISION.NET...
Actualización para seis nuevas vulnerabilidades en Internet Explorer
Microsoft publica un parche acumulativo que incluye las funcionalidades de todos los parches publicados anteriormente para Internet Explorer 5.01, 5.5 y 6.0. Además, esta actualización corrige seis nuevas vulnerabilidades....
Facebook, tu perfil es importante para no$otro$
Gracias a la gente de linux-os.com.ar que informó sobre este interesante vídeo donde exponen que hace Facebook con la información de sus usuarios. Vale la pena darle una mirada solo dura 7 minutos....
Chrome arregla dos fallos de seguridad graves
Google soluciona dos vulnerabilidades graves en la versión estable de Chrome, que pueden hacer que un usuario malicioso tome el control del ordenador afectado....
Webcams ayudan a prevenir accidentes aéreos en Alaska
Volar con mal tiempo es la principal causa de los accidentes aéreos que ocurren en Alaska. En estas latitudes se producen accidentes aéreos cada diez días. Para combatir este problema, la Administración Federal de Aviación (FAA, por su siglas en...
SGAE se refiere a Stallman como "apóstol antisistema".
En una carta dirigida al director de elcorreodigital.com, Antonio Alférez, director del Departamento de Comunicación de la entidad, critica las recientes declaraciones del conferenciante estadounidense....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fallos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • oracle
  • pgp
  • php
  • sabayon
  • seguridad
  • semana
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra