Gyurkity Péter

Az Oracle is átáll a havi frissítések rendszerére

Az adatbáziskezelő szoftvereiről ismert cég bejelentette, hogy - a Microsoft rendszeréhez hasonlóan - hamarosan havi ütemezésben teszi elérhetővé szoftverei legújabb javításait.

A bejelentés szerint a felhasználók ezentúl minden hónap második keddi napján tölthetik le a frissítéseket. "Véleményünk szerint az előre meghatározott időpontban megjelenő, és egyszerre több hibát is javító frissítések jobban szolgálják vásárlóink érdekeit, mint a véletlenszerű időpontokban kiadott apróbb foltozások. Bár a tapasztalatok szerint a menetrendeket igen nehéz betartani, a felhasználók érdeke mindennél fontosabb számunkra" - áll a cég közleményében.

Az Oracle lépése újabb példa arra, hogy a jelentősebb vállalatok közül egyre többen ütemezni próbálják a javítások megjelenését. Egyes biztonsági szakértők szerint ugyan a havonta megjelenő frissítések inkább a vállalatok érdekeit szolgálják mintsem a vásárlókét, mások viszont hangsúlyozzák, hogy az ütemezett rendszer révén javul a biztonság.

"A legfontosabb szempont, hogy az informatikai cégek előre meghatározott időpontban teszik közzé javításaikat, és nem meglepetésszerűen, szinte a felhasználók tudta nélkül" - jelentette ki Gerhard Eschelbeck, a Qualys technikai igazgatója. A Qualys - amely elsősorban az informatikai rendszerek veszélyeztetettségével foglalkozik - nemrég közzétette, hogy a szoftvergyártók manapság sokkal gyakrabban adnak ki javításokat. Felmérésük arra irányult, hogy általában mennyi idő alatt esik felére azon rendszerek száma, amelyek egy bizonyos szoftveres hiba által veszélyeztetettek. Míg tavaly 30 nap alatt érték el ezt az eredményt, az idei évben már 21 nap is elegendőnek bizonyult.

Eschelbeck hozzátette, hogy a Microsoft által bemutatott rendszer egyik előnye, hogy a meghatározott időpontban megjelenő javításokat némileg egyszerűbb telepíteni. Ugyanakkor egyes adatok azt mutatják, hogy a havi frissítéseket megjelentető cégek általában lassabban reagálnak az újonnan felfedezett hibákra. Szakértők véleménye szerint a Microsoft számos esetben túlságosan lassan foltozta be az operációs rendszer újabb biztonsági réseit, és példaként említik, hogy az egyik hiba kijavítására több mint 200 napot kellett várnunk.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Lola. #8
    hát ezek közül azért lehet már csemegézni és http sem kell a legtöbbhöz:

    Oracle Multiple Unspecified Vulnerabilities
    Oracle Database Default Library Directory Privilege Escalation Vulnerability
    Oracle Database 10g Installer Insecure Temporary File Creation Vulnerability
    Oracle E-Business Suite Multiple Unspecified SQL Injection Vulnerabilities
    Oracle Single Sign-On Login Page Authentication Credential Disclosure Vulnerability
    Oracle Application Server Web Cache HTTP Request Method Heap Overrun Vulnerability
    Oracle9i Database Server Unspecified Security Vulnerabilities
    Oracle 9i Application/Database Server SOAP XML DTD Denial Of Service Vulnerability
    Oracle9i Lite Multiple Unspecified Vulnerabilities
    Multiple Oracle Database Parameter/Statement Buffer Overflow Vulnerabilities
    OracleAS TopLink Mapping Workbench Weak Encryption Algorithm Vulnerability
    Oracle HTTP Server isqlplus Cross-Site Scripting Vulnerability
    Oracle9iAS Portal Component SQL Injection Vulnerability
    Oracle Files Restricted Content Access Vulnerability
    Oracle Database Server OracleO Binary Local Buffer Overflow Vulnerability
    Oracle Database Server Oracle Binary Local Buffer Overflow Vulnerability
    Multiple Oracle XDB FTP / HTTP Services Buffer Overflow Vulnerabilities
    Oracle Database Server EXTPROC Buffer Overflow Vulnerability
    Oracle AOL/J Setup Test Suite Information Disclosure Vulnerability
    Oracle Applications FNDWRR CGI Remote Buffer Overflow Vulnerability
    Oracle Net Services Link Buffer Overflow Vulnerability
    Oracle E-Business Suite RRA/FNDFS Arbitrary File Disclosure Vulnerability
    Oracle JDBC Daylight Savings Time Timestamp Weakness
    Oracle 9i Application Server DAV_PUBLIC Format String Vulnerability
    Oracle Database Server TO_TIMESTAMP_TZ Buffer Overflow Vulnerability
    Oracle Database Server TZ_OFFSET Buffer Overflow Vulnerability
    Oracle Database Server ORACLE.EXE Buffer Overflow Vulnerability
    Oracle Database Server DIRECTORY Buffer Overflow Vulnerability
    Oracle 9i Application Server mod_oradav Module Format String Vulnerability

    forrás: securityfocus

    Szerintem nem kell szépíteni a dolgot, nem rossz rendszer az oracle, de ugyanúgy hemzseg a lyukaktól, mint bármelyik másik. De, ha tényleg csak nüansznyi problémákat javítanának (és nem komoly biztonsági lyukakat) akkor a fenti cikk meg sem született volna, mert azokat a patcheket mindenki akkor rakná fel amikor éppen szüksége van, szemben a biztonsági patchekkel, amiknek tényleg jót tesz, ha ütemezve vannak, akkor lehet a legjobban ráállítani a kollégákat, hogy minden hónap x. napjától tesztelik y. napig, majd z naptól bevezetik, igy biztos nem marad ki egy fontos sem.
  • PetruZ #7
    Az Oracle elsősorban adatbáziskezelő rendszert gyárt - sok egyéb mellett is. A leírt hibák mind http, azaz webes felületű támadások célpontjai lehetnek. A leírt háromból kettő ráadásul nem is Oracle terméken keresztülvihető bug, hanem az apache által a nekik írt, módosított apache webszerver hibája...
  • Pheel #6
    A supportot sem megerősíteni, sem megcáfolni nem tudom, ugyanis sosem vettem igénybe.
  • Pheel #5
    Igazán nem akarok ellenkezni, de ez csak részben igaz. Tényleg vannak egyszerű, nehezen kihasználható hibák is, de nem csak azok, hanem akár elég durva backdoorok is. Persze javítják őket, mint minden valamirevaló cég.

    Csak, hogy ne a levegőbe beszéljek:

    Oracle Application Server Portal Component Permits Remote SQL Injection
    Oracle HTTP Server 'isqlplus' Input Validation Flaws
    Security Issue Found with Customized Login Pages for Oracle SSO
  • PetruZ #4
    Az Oracle esetén nem biztonsági kérdésről van szó, a frissítések náluk nem ilyen-olyan lyukak foltozására készülnek, hanem apróbb, csak nagyon speciális feltételek együttállása esetén előforduló hibákra, amelyek a legtöbb esetben nem befolyásolják döntően egy Oracle szerver működését, ill. a fejlesztők is el tudják kerülni ezeket a helyzeteket.
    Az Oracle support az egyik legjobb a világon, az általuk működtetett webes felületű support minden regisztrált felhasználónak a rendelkezésére áll és a feltett kérdésekre általában pár órán belül érkezik válasz, konkrét javaslatokkal és útmutatókkal.
  • Lola. #3
    "Hová lett az unbreakable Oracle szlogen?"

    Már linuxon (is) fejlesztik... :))
  • Pheel #2
    Hová lett az unbreakable Oracle szlogen? Mégis csak az számít, hogy hány ember akarja felnyomni az adott szoftvert? Úgy látszik mégis fordítottan arányos az elterjedtség és a biztonság...
  • comet #1
    "a felhasználók érdeke mindennél fontosabb számunkra"

    Mellesleg a szart nem kellene utánozni...ms módra LOL