Oracle database bevat veel lekken...

[gezina]

Oracle database bevat veel lekken

David Litchfield, een Britse beveiligingsexpert, heeft tientallen lekken in Oracles database gevonden. Zo luidt een bericht op automatiseringsgids.nl Daar zitten zeer ernstige beveiligingsgaten bij die buitenstaanders toegang tot en zelfs controle over de database kunnen geven, ook als ze niet over een gebruikersnaam of wachtwoord beschikken, meldt de Wall Street Journal.

Tot de lekken die Litchfield heeft gevonden behoren buffer overflows waarmee van buitenaf code binnengesmokkeld kan worden en fouten in de PL-SQL-taal voor het definiëren van databases en het opvragen van gegevens daaruit. Litchfield wil de gevonden fouten niet nader specificeren. Eerder dit jaar trad hij wel in details bij de door hem gevonden fout in Microsofts database, die vervolgens misbruikt werd in de SQL Slammer-worm voordat de databasebeheerders hun maatregelen hadden genomen. Nu heeft hij zijn informatie alleen doorgespeeld aan Oracle.

Oracle heeft toegegeven dat er sprake is van lekken en dat sommige ernstig zouden kunnen zijn. Het bedrijf werkt aan het dichten ervan, maar gezien het feit dat hij met zijn ontdekking naar buiten is getreden, gaat dat Litchfield kennelijk niet snel genoeg. (jwy) Zie ook: security.nl

 

[gezina]

Oracle belooft patches voor security lekken

Database software maker Oracle heeft beloofd op zeer korte termijn patches beschikbaar te stellen die de 34 lekken, die door een Engelse security onderzoeker gevonden werden, moeten dichten. Zo meldt security.nl Details van de lekken zijn nog niet bekend gemaakt, maar David Litchfield van Next-Generation Security Software gaf al wel wat algemene informatie, waaruit zou blijken dat het om kritieke lekken gaat. "Bij Oracle nemen we security zeer serieus, en hoewel we achter de inherente security van onze produkten staan, proberen we het altijd beter te doen," aldus een verklaring van het bedrijf. De lekken werden vorige week aan het publiek bekend gemaakt, maar Oracle zou sinds januari van een aantal op de hoogte zijn, aldus dit artikel.

 

[masterprut]

lekker

MySQL heeft dat alles niet

Aangepast ivm met onduidelijkheid en andere klachten ...

 

[buffy]

Geplaatst door masterprut
lekker

Daarom Gord.. nee Mysql

Ik heb werkelijk geen flauw idee wat bovenstaand bericht betekent.

Zou je het misschien ook even gewoon in het Nederlands kunnen plaatsen?

 

[masterprut]

Ik doelde erop om te beginnen met 'Daarom Gordel om' ...

wups typefoutje

 

[buffy]

Geplaatst door masterprut
Ik doelde erop om te beginnen met 'Daarom Gorder om' ...

Ik begrijp er nog steeds geen bibs van.

Maar ja, ik ben natuurlijk enorm ouderwets, met mijn rare idee dat je op een openbaar forum taal zou moeten gebruiken die ook door mensen buiten je eigen kleine chatkringetje om begrepen kan worden. Enorm stom van mij, om dat te denken.

 

[gezina]

Kritieke Oracle patches nog steeds niet beschikbaar

Onlangs maakte securityonderzoeker David Litchfield bekend dat er 34 security lekken in de software van Oracle zitten. Hoewel hij geen specifieke details bekend maakte, liet hij wel weten dat het om buffer overflow aanvallen en SQL injectie technieken gaat waardoor een aanvaller toegang tot een Oracle database kan krijgen. Aldus een bericht op security.nl De lekken zijn door Oracle bevestigd, maar de patches zijn nog steeds niet te downloaden. Het is dan ook de vraag of het bedrijf dezelfde kritiek zal krijgen die Microsoft vaak voor het te laat uitbrengen van haar patches krijgt. Aardig detail is dat Oracle op het moment een reclamecampagne voor haar databases voert waarbij de software als "onbreekbaar" wordt bestempeld, zoals te lezen in dit artikel.

 

[gezina]

Ook Oracle gaat maandelijks patchen

Den Haag, 8.52 uur - automatiseringsgids.nl Oracle gaat patches voor zijn softwareproducten op een vaste dag in de maand verspreiden. Dat heeft het bedrijf bevestigd tegenover de nieuwsdienst CNet. Daarmee volgt Oracle het voorbeeld van Microsoft, dat vorig jaar besloot verbeteringen op zijn programmatuur maandelijks te bundelen.

De stap is bedoeld om het voor beheerders eenvoudiger te maken om de patches aan te brengen. Het aanbrengen van onaangekondigd uitgebrachte patches is vaak moeilijk in te passen in de werkzaamheden. Gezien de snelheid waarmee de hacker-gemeenschap reageert op nieuw gevonden lekken, is uitstel van het aanbrengen van patches echter riskant. Door patches op een vast tijdstip uit te brengen, kunnen beheerders tijd inplannen voor het uittesten en aanbrengen ervan. (jwy) Zie ook: security.nl

(MS heeft een 'trend' gezet...)

 

[gezina]

Oracle verhelpt kritieke lekken in haar software

Oracle heeft haar eerste maandelijkse verzameling van patches beschikbaar gesteld. De updates moeten meer dan 30 kritieke lekken verhelpen, die manipulatie van gegevens, verstrekken van systeem en vertrouwelijke gegevens, denial of service en systeemtoegang mogelijk maakt. Aldus een bericht op security.nl De lekken zijn aanwezig in:
* Oracle Application Server 10g
* Oracle Database 10g
* Oracle Enterprise Manager 10.x
* Oracle8i Database
* Oracle9i Application Server
* Oracle9i Database Enterprise Edition
* Oracle9i Database Standard Edition
De betreffende patches kunnen via deze pagina gedownload worden. Meer informatie over de lekken en patchcyclus zijn op deze en deze pagina te vinden.

 

[gezina]

Oracle waarschuwt klanten voor exploits

Oracle heeft haar klanten gewaarschuwd dat ze de patches, die het bedrijf in augustus beschikbaar stelde, moeten installeren. Zo bericht security.nl Volgens de ontwikkelaar is er namelijk exploit code in omloop die van de lekken gebruik kan maken. Oracle wilde echter geen informatie over de exploits prijsgeven. De security lekken zijn in verschillende Oracle produkten aanwezig, zoals versie 8i, 9i en 10g van de Database, Application Server en Enterprise Manager software. (ComputerWeekly)

 

[gezina]

Gartner vraagt om helderheid over Oracle-patch

Den Haag, 11.20 uur - Automatisering Gids. Gartner roept Oracle op meer informatie te verstrekken over een recente beveiligingspatch van het bedrijf. Analisten Neil MacDonald en Rich Mogull hebben geen antwoord gekregen op hun verzoek om duidelijkheid over de precieze bedoelingen van een patch die eerst in augustus en vervolgens weer in oktober werd vrijgegeven.

Oracle maakt niet duidelijk wat de gevolgen van het niet toepassen van de patch zijn en of de kwetsbaarheden die ermee gedicht worden ook voorkomen in oudere versies van zijn database, applicatieserver en ‘Enterprise Manager’. “In het ergste geval zouden gegevens in elke Oracle-database die je in huis hebt kwetsbaar kunnen zijn”, stellen de analisten. “Systeembeheerders hebben nu niet voldoende informatie om te beslissen welke servers ze prioriteit moeten geven of welke gegevens het meest kwetsbaar zijn.”

Gartner raadt aan de gangbare versies van de software te patchen en de oudere versies (7.x, 8.x) te upgraden of te vervangen door een database van de concurrentie. Wat betreft het patch-beleid zou Oracle een voorbeeld kunnen nemen aan Microsoft, houdt Gartner de gebruikers voor.

 

[JPeetje]

Geplaatst door masterprut
MySQL heeft dat alles niet

Ow ?
Waar baseer je die uitspraak op ?

 

[gezina]

Oracle gaat driemaandelijks patchen

Den Haag, 11.05 uur - Automatisering Gids. Oracle gaat het net als Microsoft voorspelbaarder maken wanneer beheerders patches voor de software kunnen verwachten. De databasegigant zal iedere drie maanden zijn patches gebundeld uitbrengen.

Volgens Oracle is met de kwartaalfrequenties een compromis bereikt tussen het actueel en beveiligd houden van softwaresystemen enerzijds en het werkbaar houden van het beheerproces. De eerste patch-bundel zal verschijnen op 18 januari. Vervolgens zijn er patches op 12 april, 12 juli en 18 oktober.