La semana de los fallos en Oracle


Siguiendo la estela del "mes de los fallos en navegadores" y del "mes de los errores en el núcleo", Cesar Cerrudo emprende una nueva campaña centrada en un solo producto: La semana de los bugs en Oracle (Week of Oracle Database Bugs) ha sido anunciada para principios de diciembre.





Como ya hiciera HD Moore en julio con su "mes de los fallos en los
navegadores", y LMH ahora en noviembre con la iniciativa "mes de los
errores en el núcleo" llega "la semana de fallos en Oracle" de la mano
de Cesar Cerrudo, director de Argeniss y experto en seguridad de bases
de datos.

La WoODB se centrará en la publicación de una vulnerabilidad o error
por día durante una semana, caracterizadas por no tener solución oficial
y ser desconocidas hasta el momento. El hecho de que la iniciativa sea
más corta que las anteriores no quiere decir que no existan errores
suficientes. Su creador indica que bien podrían hacer "el año de los
fallos en Oracle" sin ningún problema. Una semana, sin embargo, les ha
parecido suficiente para llamar la atención sobre el problema de
seguridad de Oracle, que no distribuye productos seguros ni sus
actualizaciones a tiempo. Añade que incluso la compañía miente sobre sus
esfuerzos de seguridad. Cerrudo también dice haber elegido Oracle por su
posición en el mercado, aunque aclara que la semana podría haber sido
dedicada a cualquier otro producto, porque asegura tener "0 days" para
otros sistemas de bases de datos. Aunque no lo mencione, parece obvio
que una de sus motivaciones añadidas es dar a conocer su empresa.

El proyecto ha recibido críticas negativas de Alexander Kornbrust,
experto de Red-Database-Security que piensa que no contribuirá a
mejorar la seguridad. Es muy poco probable que Oracle rompa su ciclo
trimestral de actualizaciones y por tanto no habrá nuevos parches hasta
enero o abril de 2007. Kornbrust también piensa que Oracle ha mejorado
la seguridad durante 2006.

Es cierto que Oracle ha mejorado su sistema de notificación de alertas
de seguridad, pero es más cuestionable que haya mejorado la seguridad en
sí. En su último paquete de actualizaciones, añadió más información a la
descripción de las vulnerabilidades respondiendo a una aclamada demanda
por parte de administradores de sus bases de datos, y reconociendo que
la forma en la que venía describiendo sus problemas de seguridad
resultaba manifiestamente mejorable. Ha rediseñado su sistema de
boletines ayudándose de CVSS (Common Vulnerability Scoring System), un
estándar que gradúa la severidad de manera estricta a través de fórmulas
establecidas.

Pero sin ir más lejos David Litchfield demostraba a través de un informe
hace unos días que Oracle sufre demasiados problemas de seguridad, que
van en aumento, y que tiene otros tantos que les queda por corregir. La
semana de fallos en Oracle será una pequeña muestra.

Más información:

The Week of Oracle Database Bugs
http://www.argeniss.com/woodb.html

After two 'Hole Months', now a 'Hole Week'
http://www.heise-security.co.uk/news/81412

(22/11/2006) Litchfield: Comparado con Oracle, Microsoft SQL Server es más seguro
http://www.hispasec.com/unaaldia/2951

Oracle ofrecerá más y mejor información en sus boletines de seguridad
http://www.hispasec.com/unaaldia/2915

Fuente:
Sergio de los Santos
hispasec.com



Otras noticias de interés:

Muere el inventor del Shareware.
A la edad de 53 años, Bob Wallace, antiguo empleado de Microsoft e inventor del sistema de distribución de software shareware ha muerto. ...
Ataques de inyección SQL acaparan interés
Cada vez son más los piratas informáticos que muestran su interés por llevar a cabo sus acciones delictivas a través de ataques de inyección SQL. Así lo desvela el Informe Hacker Intelligence Initiative realizado por Imperva....
Firefox 2.0.0.12 soluciona múltiples fallos
Mozilla ha publicado Firefox 2.0.0.12 y una nueva versión de SeaMonkey (la 1.1.8). Y aunque la anuncia en sus alertas de seguridad como 2.0.0.12, brilla por su ausencia la nueva versión de Thunderbird. ...
El efecto túnel cuántico podría darnos WiFi a 60GHz
Un diodo que permite el transporte de electrones vía efecto túnel cuántico podría ser la base para el reemplazo de los chips semiconductores. Motorola ha validado las pruebas de alta velocidad realizada sobre estos diodos para su aplicación en i...
Python 2.5 lanzado
20 meses después de su último release, el lenguaje Python llegó a su versión 2.5, quizás su actualización más importante desde la v2.2 del 2001....
Microsoft pide tregua a Linux en vídeo
Cuando se piensa que ya se ha visto todo, aparece esto. Microsoft felicita a Linux en su 20 aniversario enviando un vídeo en el que hace un recorrido por sus relaciones y tiende la mano hacia una tregua entre sistemas....
Escucha Música en tu Oficina u Hogar
Mientras echas código, o editas una imagen, das soporte etc etc ponte tus audífonos y escucha música online. De esta manera pasarás esas horas trabajando de una forma mas amena....
Microsoft relanza el parche de Internet Explorer
Luego de posponer el relanzamiento del parche MS06-042, de forma indefinida, hasta que el software esté listo, como dijo la propia compañía hace apenas dos días, finalmente se publicó la nueva versión de esta actualización....
Man In The Middle en una conexión WPA/WPA2
El amigo Maligno, ha escrito en su blog un interesante artículo sobre una falla en WPA/WPA2 PSK....
Revista digital sobre Software Libre Latitud #6
Está lista para su descarga la nueva edición de la revista digital Latitud, que lleva como tiulo: La Colaboración es la Esencia del Software Libre....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fallos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • oracle
  • pgp
  • php
  • sabayon
  • seguridad
  • semana
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra