Gartner: Oracle больше не бастион безопасности

Аналитическая фирма Gartner предупредила администраторов, чтобы они «более агрессивно» защищали свои приложения Oracle, так как гигант СУБД недостаточно в этом помогает.

Gartner опубликовала рекомендации на своем веб-сайте всего через несколько дней после окончания очередного ежеквартального цикла обновлений Oracle, в который вошли 103 исправления, включая 37, относящихся к ошибкам в СУБД-продуктах компании. Некоторые из этих ошибок помечены Oracle как максимально опасные, что означает, что ими легко воспользоваться, и атаки могут иметь серьезные последствия.

Согласно рекомендации, опубликованной в понедельник аналитиком Gartner Ричардом Могуллом, «разнообразие и серьезность исправленных уязвимостей в данном обновлении вызывает большие опасения… Oracle пока не получила массовый секьюрити-эксплойт, но это не означает, что он не появится никогда».

По словам аналитика, так как защита Oracle традиционно считалась очень надежной, и многие продукты Oracle располагаются «глубоко внутри предприятия», администраторы часто пренебрегают необходимостью устанавливать исправления. «Более того, иногда это невозможно из-за связей с устаревшими версиями, которые Oracle больше не поддерживает. Теперь подобная практика недопустима», — утверждает Могулл, советуя администраторам уделять больше внимания защите своих приложений Oracle.

Его рекомендации заключаются в следующем:

• Немедленно по мере возможности защитить эти системы с применением брандмауэров, систем предотвращения вторжений и других технологий.

• Как можно быстрее установить имеющиеся исправления.

• Использовать альтернативные инструменты защиты, такие как технологии мониторинга активности, для выявления нетипичных действий.

• Потребовать от Oracle изменения практики управления защитой.

Oracle пока не ответила на просьбу о комментариях.

Symantec после выхода исправлений Oracle повысила свой индекс глобальных угроз до уровня 2, что означает вероятность вспышки атак. Обычно она происходит после выпуска патчей, так как злоумышленники используют их в качестве источника информации для организации атак.

Предыдущие публикации:

2005-10-28

Система паролей Oracle подверглась критике

В продолжение темы:

2006-04-12

Oracle случайно проговорилась о дыре в базе данных

Обсуждение и комментарии

	Гуй Вебовый 25 Jan 2006 12:42 PM
Спасибо, Минздра... ой, Гартнер, что предупредили! :-))

	Пётр 27 Jan 2006 5:20 PM
странно, что когда написали про уязвимость в КДЕ в пписочном по инсталлбейзу линуксе, так тут поднялся флейм, а вот про критические ошибки, в куда более серьёзном продукте и по установкам и по влиянию, как-то никто не трещит.

	Пётр 27 Jan 2006 5:21 PM
А ещё Ситибанк российский блокирует карточки свои, так как есть подозрение, что базу потырили.

	grajdanin 5 Feb 2006 1:19 PM
2 Пётр А KDE вообще особо себя в области секюрити не утруждает.

← декабрь 2005

19 20 23 24 25 26 27 30 31

февраль 2006 →