8
-
Lola. #8 hát ezek közül azért lehet már csemegézni és http sem kell a legtöbbhöz:
Oracle Multiple Unspecified Vulnerabilities
Oracle Database Default Library Directory Privilege Escalation Vulnerability
Oracle Database 10g Installer Insecure Temporary File Creation Vulnerability
Oracle E-Business Suite Multiple Unspecified SQL Injection Vulnerabilities
Oracle Single Sign-On Login Page Authentication Credential Disclosure Vulnerability
Oracle Application Server Web Cache HTTP Request Method Heap Overrun Vulnerability
Oracle9i Database Server Unspecified Security Vulnerabilities
Oracle 9i Application/Database Server SOAP XML DTD Denial Of Service Vulnerability
Oracle9i Lite Multiple Unspecified Vulnerabilities
Multiple Oracle Database Parameter/Statement Buffer Overflow Vulnerabilities
OracleAS TopLink Mapping Workbench Weak Encryption Algorithm Vulnerability
Oracle HTTP Server isqlplus Cross-Site Scripting Vulnerability
Oracle9iAS Portal Component SQL Injection Vulnerability
Oracle Files Restricted Content Access Vulnerability
Oracle Database Server OracleO Binary Local Buffer Overflow Vulnerability
Oracle Database Server Oracle Binary Local Buffer Overflow Vulnerability
Multiple Oracle XDB FTP / HTTP Services Buffer Overflow Vulnerabilities
Oracle Database Server EXTPROC Buffer Overflow Vulnerability
Oracle AOL/J Setup Test Suite Information Disclosure Vulnerability
Oracle Applications FNDWRR CGI Remote Buffer Overflow Vulnerability
Oracle Net Services Link Buffer Overflow Vulnerability
Oracle E-Business Suite RRA/FNDFS Arbitrary File Disclosure Vulnerability
Oracle JDBC Daylight Savings Time Timestamp Weakness
Oracle 9i Application Server DAV_PUBLIC Format String Vulnerability
Oracle Database Server TO_TIMESTAMP_TZ Buffer Overflow Vulnerability
Oracle Database Server TZ_OFFSET Buffer Overflow Vulnerability
Oracle Database Server ORACLE.EXE Buffer Overflow Vulnerability
Oracle Database Server DIRECTORY Buffer Overflow Vulnerability
Oracle 9i Application Server mod_oradav Module Format String Vulnerability
forrás: securityfocus
Szerintem nem kell szépíteni a dolgot, nem rossz rendszer az oracle, de ugyanúgy hemzseg a lyukaktól, mint bármelyik másik. De, ha tényleg csak nüansznyi problémákat javítanának (és nem komoly biztonsági lyukakat) akkor a fenti cikk meg sem született volna, mert azokat a patcheket mindenki akkor rakná fel amikor éppen szüksége van, szemben a biztonsági patchekkel, amiknek tényleg jót tesz, ha ütemezve vannak, akkor lehet a legjobban ráállítani a kollégákat, hogy minden hónap x. napjától tesztelik y. napig, majd z naptól bevezetik, igy biztos nem marad ki egy fontos sem. -
#7 Az Oracle elsősorban adatbáziskezelő rendszert gyárt - sok egyéb mellett is. A leírt hibák mind http, azaz webes felületű támadások célpontjai lehetnek. A leírt háromból kettő ráadásul nem is Oracle terméken keresztülvihető bug, hanem az apache által a nekik írt, módosított apache webszerver hibája...
-
#6 A supportot sem megerősíteni, sem megcáfolni nem tudom, ugyanis sosem vettem igénybe. -
#5 Igazán nem akarok ellenkezni, de ez csak részben igaz. Tényleg vannak egyszerű, nehezen kihasználható hibák is, de nem csak azok, hanem akár elég durva backdoorok is. Persze javítják őket, mint minden valamirevaló cég.
Csak, hogy ne a levegőbe beszéljek:
Oracle Application Server Portal Component Permits Remote SQL Injection
Oracle HTTP Server 'isqlplus' Input Validation Flaws
Security Issue Found with Customized Login Pages for Oracle SSO -
#4 Az Oracle esetén nem biztonsági kérdésről van szó, a frissítések náluk nem ilyen-olyan lyukak foltozására készülnek, hanem apróbb, csak nagyon speciális feltételek együttállása esetén előforduló hibákra, amelyek a legtöbb esetben nem befolyásolják döntően egy Oracle szerver működését, ill. a fejlesztők is el tudják kerülni ezeket a helyzeteket.
Az Oracle support az egyik legjobb a világon, az általuk működtetett webes felületű support minden regisztrált felhasználónak a rendelkezésére áll és a feltett kérdésekre általában pár órán belül érkezik válasz, konkrét javaslatokkal és útmutatókkal.
-
Lola. #3 "Hová lett az unbreakable Oracle szlogen?"
Már linuxon (is) fejlesztik... :))
-
#2 Hová lett az unbreakable Oracle szlogen? Mégis csak az számít, hogy hány ember akarja felnyomni az adott szoftvert? Úgy látszik mégis fordítottan arányos az elterjedtség és a biztonság... -
#1 "a felhasználók érdeke mindennél fontosabb számunkra"
Mellesleg a szart nem kellene utánozni...ms módra LOL