Oracle wystawiony na ataki

08.02.2010 13:30, Autor: Michał Majchrzycki (mmaj)

Niedobra wiadomość dla osób korzystających z baz danych Oracle. Zdaniem ekspertów nawet 9 na 10 baz danych jest wystawionych na ataki cyberprzestępców. W prosty sposób mogą oni uzyskać dostęp do danych, czy nawet przejąć kontrolę nad systemami baz danych. Wszystko za sprawą błędu w oprogramowaniu.

Oracle to system baz danych (RDBMS), którego twórcą jest firma Oracle Corporation. Z baz korzystają liczne prywatne spółki, a także organizacje rządowe na całym świecie. Według doniesień Reutersa cyberprzestępcy mogą łatwo przejąć kontrolę nad bazami danych Oracle. Nie muszą nawet posiadać ID użytkownika, ani hasła dostępu. David Litchfield z NGSSoftware Ltd. twierdzi, że już w listopadzie zeszłego roku ostrzegał Oracle Corp. o możliwych atakach. Do dzisiaj firma nie odpowiedziała na jego apel, ani nie wprowadziła poprawek w swojej bazie danych. Zdesperowany Litchfield postanowił zwrócić się do mediów.

Zdaniem Litchfielda błędy w Oracle są na tyle poważne, że pozwalają atakującemu przejąć całkowitą kontrolę bez posiadania ID użytkownika ani hasła. Wszystkie firewalle stają się nieistotne.. Przed atakami można uchronić się dokonując zmian w domyślnych ustawieniach Oracle. Litchfield uważa jednak, że potrzebna jest aktualizacja, która wyeliminuje błąd - problem jest zbyt duży, aby pozostawić go w gestii użytkowników baz danych.

W ostatniej - styczniowej - aktualizacji związanej z bezpieczeństwem baz danych, nie uwzględniono informacji o problemie zgłoszonych przez Litchfielda.

Źródło: Neowin

komentarze (9) drukuj podobne

r e k l a m a

Komentarze

kubaw (niezalogowany) | 08.02.2010 14:11

Poczytajcie sobie historię powstania tej firmy i jej założyciela. Czy wiecie czemu Oracle wydano od razu w wersji 2? To u nich norma, hehehe. ;-)

greg-pl (niezalogowany) | 08.02.2010 14:12

Chyba pan Litchfield chce rozreklamować swoją firmę opowiadając bajki. Jestem ciekaw jacy to eksperci oceniają, że 9 na 10 baz Oracle można złamać "w prosty sposób" i jaki ten sposób jest. Mało konkretów, za to dużo straszenia wyimaginowanym błędem. Swoją drogą nie wiedziałem, że Reuters jest specjalistą w dziedzinie security.
Dopóki nie pojawią się wiarygodne informacje w tym temacie, to chyba tę historyjkę można włożyć między bajki. Jakoś mi się wierzyć nie chce, że taka poważna firma jak Oracle zlałaby temat krytycznej luki w zabezpieczeniach narażając się tym samym na spore nadszarpnięcie wizerunku.

bolszy188 | 08.02.2010 14:23

I to się nazywa produkt z najwyższej półki HAHA

Geminga (niezalogowany) | 08.02.2010 14:36

A samochody są sprzedawane z domyślnie nie zapiętymi pasami bezp. :D
Nie uważacie, że problem jazdy bez pasów jest "zbyt duży, aby pozostawić go w gestii użytkowników" samochodów? :D

zxvcgcgfjn (niezalogowany) | 08.02.2010 15:07

Ciekawe jak "błędy w Oracle są na tyle poważne, że pozwalają atakującemu przejąć całkowitą kontrolę bez posiadania adresu ID użytkownika ani hasła. Wszystkie firewalle stają się nieistotne.." to zrobić ? :-)

aaajjj (niezalogowany) | 08.02.2010 17:08

@greg-pl
Nie wiem gdzie kolega się uchował ale Oracle to najbardziej dziurawa baza danych na świecie. Oracle to ma głęboko w **** bezpieczeństwo i tak już jest od bardzo dawna.

potrafie costam costam (niezalogowany) | 08.02.2010 20:22

ehh , Panowie z dobreprogramy mogliście się spytać jakiegoś znajomka DBA co o tym sadzi, baza danych nie jest samo wystarczalnym tworem! do działania potrzebuje maszyny, OS'a, i samych danych, to naprawdę jest spory łańcuch a każdy łańcuch jest tylko tak mocny jak najsłabsze jego ogniwo! Pan David ze swoimi niusami na drzewo :)

colroaps (niezalogowany) | 09.02.2010 9:26

Oracle - Cena Kosmos
DB2 - Cena Kosmos
A wystarczy
PostgreSQL [PL/pgSQL] [C] [python] [php] - FREE

krakers09 | 09.02.2010 14:58

http://www.heise-online.pl/security/news/item/Oracle-lata-produkty-poza-harmonogramem-924062.html
Chyba po fakcie

Dodaj komentarz

Zasady publikowania komentarzy

Prosimy o wypowiadanie się w komentarzach w sposób uprzejmy, z poszanowaniem innych uczestników dyskusji i ich odrębnych stanowisk.
Szczegółowe zasady publikowania komentarzy.