Specker Balázs

Az Oracle évek óta nem javítja szoftvereit?

A Red Database Security biztonsági cég munkatársai elmarasztalták az Oracle-t , mert nem a megfelelő módon foglalkozik a biztonsággal. Tiltakozásul a szoftveróriás 6 biztonsági réséről jelentettek meg részleteket.

A vádak szerint az Oracle semmit sem tett olyan lyukak befoltozására, melyekről már két éve tudomása van. "Úgy tűnik, az Oracle-t nem érdekli a hibák kijavítása és a biztonsági frissítések közzététele. Ha valaki úgy érzi, meg kell védenie Oracle Application Serverét, kapcsolatba kell lépnie a vállalattal" - írta Alexander Kornbrustin, a Red Database Security munkatársa jelentésében. A felfedett rések az Oracle Applications Server céges alkalmazás tervező rendszer összetevőiben találhatók meg, öt az Oracle Reportsban, egy pedig az Oracle Formsban. A sebezhetőségeket a Secunia mérsékelten veszélyesnek ítélte meg, 3 pontot adva ezzel a maximálisan elérhető 5-ből - írja a Forbes.

Kornbrust szerint a hibák az Oracle Internet Application Serverét is érintik. Azt állítja, hogy az Oracle Report rései révén bárki könnyűszerrel elolvashatja és felülírhatja az alkalmazás szerverén található állományokat. Emellett az operációs rendszer bármelyik parancsát lefuttathatja egy tetszőleges könyvtárból feltöltött jelentésen keresztül, akárcsak az Oracle Forms esetében - közölte az InformationWeek.

Az Oracle nem volt hajlandó interjút adni a TechWebnek, de kijelentette, hogy munkatársaik a hibák súlyossági sorrendjében, vagyis először a legveszélyesebbel kezdve foltozzák be a rendszert. Így a fent említett hat - általuk nem annyira kockázatosnak vélt - rés betömését csak később kezdik meg - olvasható a TechWeb oldalán. A szoftvermogul azonban láthatóan nem fogadta kitörő örömmel a leleplezést.

"Szerintünk az a legjobb módszer arra, hogy vásárlóinkat a lehető leghatékonyabban védhessük meg, hogy kerüljük a sebezhető pontok közzétételét mindaddig, amíg javításaik nem elérhetőek. Csalódottak vagyunk olyankor, mikor valamelyik termékünk gyenge pontjai azelőtt kerülnek nyilvánosságra, hogy a megfelelő javításokat a felhasználók rendelkezésre bocsájtottuk volna" - adtak hangot nemtetszésüknek, amivel gyakorlatilag a Microsoft álláspontját visszhangozták.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • BlackRose #13
    Már régen megvetette, az adatbáziskezelők piacán 3. az Oracle és az IBM mögött, de erőssen jön felfelé. A Windows szegmentsben már első, az Oracle és az IBM csak azért van előttük, mert azok multiplatform - Windows, Linux, Solaris, AIX..., míg az SQL Server csak Windowson fut...
    A Microsoft-nak ezen a téren a fő előnye a fejlesztési folyamat, ugyanis a Novemberben érkező Visual Studio 2005 és SQL Server 2005 egy olyan kombináció amelynek jelenleg nincs vetélytársa a láthatáron, a fejlesztési folyamat, néhányszor gyorsabb és olcsobb lesz mint az IBM vagy Oracle platformon, persze a VS 2005-tel ezekre is fejleszteni lehet majd, de az SQL Server CLR integrációja valamint még egynéhány forradalmi (5 év fejlesztés azért meglátszik) tulajdonsága nagy lökést fog adni a Microsoftnak az adatbáziskezelők piacán, persze 40-50% nál nagyobb piacot nem hiszem, hogy elérhetnek, mert az Oracle és IBM is megalapozott játékosok, és persze a UNIX - Linux piac nem érhető el egy Windows Only DB-vel.
  • arty #12
    pedig nem örülnék neki, ha az MS itt is megvetné a lábát ... még a végén levédetik a "táblát" ;)
  • irkab1rka #11
    Hozzátenném, hogy láttam olyan táblát DB2-ben, amiben volt két olyan rakord (több is) amelyeknek megegyezet a priamary key-e...

    Senki sem tökéletes, az adatbázis szerver is csak egy szoftver hibákkal...
  • alma2 #10
    Ha csak osszeszamolom en hany hibat jelentettem be anno az oraclenek, es osszeszamolom, hogy most hany olyan hiba van a tizesben ami mar a nyolcasban is benne volt, akkor mindig elkap a fejfajas, milyen idiota egy banda az oracle...
    Pedig aztan en mint felig meddig user hasznalom, nem is mint dba, bar kerdes a create table kihez tarozik :)


  • BlackRose #9
    Na azért nem hiszem, hogy világelső státusának ehhez köze lenne, ugyanis az MS nagyon éhes itt is a világelsőségre és az SQL Server 2005 azt hiszem, a legrosszabb esetben is közel hozza őket, (habár szerintem pl. a CLR integráció meg még egynéhány dolog akár felis hozhatja őket az első helyre), na de itt nem ez a lényeg, az IBM is törekszik leharapni az Oracle piacából... tehát az Oracle nem igen alapozhatja jővőjét világelsőségére. Itt inkább az a baj, hogy a céget egy csomó olyan ember vezeti aki nem érti meg az ügyfélkapcsolatokat, a partnerkapcsolatokat stb. Larry Ellison egy hyper egoista, aki kizárólag command and controll menedzsment alapokon irányítja a céget, és a tübbiek is így működnek benne, az, hogy empowering employees nálluk csak egy buzzword amelynek semmi jelentőságet nem adnak és éppen ezért türténik meg az, hogy a cég elveszti a fonalakat, prioritás zavarba kerül, stb. Persze maga a termék az OK, nem kétlem, hogy technikai tudásuk bér ami az adatbézisok területét illeti kifogástalan, de ha ez elég volt eddig, ezután már nem lesz, az IT kirajzolódott, felnőtt és most már nem elég működő terméket kihozni elsőnek a piacra, most már ettől több kell, ez pl. az MS-en látszik most, míg valamikor kihozták az OS-t és kész, manapság nagyon is odafigyelnek, hogy biztonságos legyen, stabil, hogy a felhasználók teljeskürű támogatást élvezzenek, a partnerek még jobban és látjuk, hogy már a marketing is fontos (szám vagy betű helyett név - Vista), persze ez még csak a kezdet, a közeljövőben az ügyfelek (felhasználók) olyan dolgokra is fognak igényt tartani ami ma eszünkbe sem jut, és ha az Oracle még azt sem biztosítja amit már alapjából jogossan elvárnak a felhasználók akkor azt hiszem gyorsan fog lecsúszni az MS és az IBM biztos nem fogja kihagyni ezt a lehetőséget.
  • arty #8
    sztem senkinek nem a "hibás" szoftverrel van a gondja, inkább egy cég mentalitása/hozzáállása irritáló ... az Oracle szép példa rá, mi történik amikor egy pozitív megitélésű cég világelsővé válik :)
  • jefferson83 #7
    Az a hülye aki ezek után nagyüzemben használja a szoftvereit!!
  • BlackRose #6
    Na azért... előre is megmondanám, hogy nem igen kedvelem az Oracle-t, az MS SQL Server 2000 és főleg a 2005-ős amely bétaval már jóideje foglalkozom nekem sokkal jobban tetszik (habár elismerem az Oracle-nak is van egynéhány erőss pontja, de sikerét főleg piacelsőbségének köszönheti), az IBM DB2-vel is pozitívabb tapasztalataim vannak, és ezért Windowson MS SQL Servert, Linuxon pedig IBM DB2 szoktam ajánlani (persze Linux esetében sokszor a mySQL is megfelel, de azért ez még nem az a súlycsoport, habár be kell vallani komoly lépésekkel fejlődik). Na de itt nem erről van szó, hanem arról, hogy minden öszetett szoftverben vannak hibák, biztonsági rések stb. ez egyszerűen elkerülhetetlen dolog, és ezért én nem szidnám az Oracle-t, ugyanis drága termékük pozitiv ROI-val rendelkezik, és ezért megéri a pénzét, és persze nagyon sok mission critical adatbázis is kifogástalanul (relatív) működik rajta. De ha igaz a fenti állítás, miszerint az Oracle nem fordít elegendő figyelmet ezek a hibák kezelésére, ez nem más mint az ügyfél becsülésének hiánya, ugyanis szerintem minden valamirevaló cég kötelessége kellene, hogy legyen, hogy ezeket az elkerölhetetlen hibákat a feltárásuk után rövid időn belül kezelje, és ha az Oracle ezt nem teszi, akkor ennek következményei is lesznek, és kell is, hogy legyenek, elvégre a szabad piacon az ügyfelek azokat a beszállítókat választják amelyek megbecsülik őket és pénzükért maximális szolgáltatást, nyújtanak. Az IBM és az MS erre elég komolyan odafigyel... na mégegyszer, nincs hibátlan tökéletes szoftver, bár nem olyan amely néhány millió sorból áll... pont.
  • Pheel #5
    "Unbreakable Oracle" - ez volt a régi szlogenjük. LOL! :)
  • sonicXX #4
    Nem a képviselő tehet róla... Ettől függetlenül is ez egy siralmas vicc: milliókat elkérnek egy vacakért, ami lassú mint a tetü, ráadásul ilyen szintű hibákat tartalmaz, ezek után nyilvánvaló, hogy tömegével. Mindig is volt egyfajta véleményem erről a vállalatról, de most már legalább megalapozottnak tarthatom.