David Litchfield, un experto en seguridad informática, parece hacer descubierto que 9 de cada 10 bases de datos de Oracle son vulnerables a ataques que darían al hacker control y acceso a la información que contienen (incluyendo la de empresas y entidades gubernamentales) sin necesidad de nombres de usuario o contraseñas.
Litchfield trabaja en el sector de investigación en NGSSoftware Ltd. (Reino Unido), y advirtió a Oracle sobre esta vulnerabilidad en noviembre del año pasado. Sin embargo, varios meses después y ante la falta de una solución por parte de los responsables del software de base de datos (el último patch de Oracle salió en enero), decidió hacer público su descubrimiento.
Lo importante de esta vulnerabilidad es que permite al atacante tomar el control de la base de datos sin usuario ni contraseña, y no hay cortafuegos que sirva. Aunque el exploit puede ser prevenido cambiando la configuración por defecto del programa, Litchfield cree que 9 de cada 10 bases de datos no están listas para afrontar un atque de este estilo, y tampoco hay forma de saber si ya fue aprovechado por alguien.
Lo que no termino de entender (y aquí ustedes, queridos lectores, son más que bienvenidos a dar su visión en los comentarios) es cuál es la necesidad de hacer públicas estas fallas cuando el responsable no las pudo solucionar aún (me recuerda al caso de Windows de hace algunas semanas). ¿No es atraer demasiada atención sobre algo que puede perjudicar a muchos usuarios? Uno puede argumentar que así se le pone presión al responsable para que lo solucione, ¿pero es realmente el beneficio superior al riesgo?
Mientras tanto, Oracle no hace declaraciones al respecto.
Pues vaya gracia el fallo, pero ahora mismo me pongo a bichear a ver si puedo entrar en la base de datos de mi empresa para subirme el sueldo :)
Está bien que se hagan públicos estos fallos, ahora la gente cambiará la configuración de su oracle y listo, además deja una imagen de oracle bastante mala, con 4 meses para arreglar el bug y seguro que de aquí a final de semana han sacado una solución milagrosamente.
Buenas.
Precisamente de eso se trata, de atraer la atención hacia la vulnerabilidad. Si Oracle no soluciona la vulnerabilidad después de haberla reportado en noviembre, es que no le muestra mucho interés, demás de que lo puede aprovechar cualquiera que también haya descubierto la falla y no la haya reportado para beneficiarse, pues solo queda publicarla para meter presión a Oracle y lo solucionen pronto.
Lo mismo pasó hace un tiempo con WordPress: http://rooibo.wordpress.com/2009/10/17/agujero-de-seguridad-en-wordpress/
Saludos!
Otorgar a Oracle dos meses de margen me parece una actitud bastante prudente … hacerlo público tiene varias consecuencias directas:
Pone en riesgo la confidencialidad de muchos datos. Sobre esto último tengo mis reservas. Si Litchfield ha publicado que existe un ‘agujero’, pero no explica abiertamente, en detalle, como aprovecharse de el, me parece una actitud más responsable.
En cualquier caso, personalmente, creo que los dos primeros puntos pesan más que último.
Al publicarlo, los administradores de estas bases de datos tienen también un respiro, ya que pueden realizar el cambio y estar seguros. Para Oracle, el caso es simple: ponerse las pilas y realizar algo al respecto para solucionar el problema, como, compilar la próxima versión con las configuraciones adecuadas para evitar estos ataques.
muy sencillo hace la vulnerabilidad publica para que la solucionen mas rapido
Hola a todos, me parece que hacer pública la vulnerabilidad es una buena solución ya que pone presión sobre ORACLE para encontrar la solucion al problema rapidamente.
Son procedimientos comunes en la seg. informatica, no es la primera vez que se hace asi.
Sin duda alguna, ya que Oracle muestra una falta total de respeto por sus clientes al no moverse y solventarlo (mas teniendo en cuenta las millonadas que cobra), lo minimo que merece es que se publique el exploit completito.
De hecho merecerian perder clientes, pero por desgracia no es tan sencillo migrar entornos corporativos , y de eso se aprovecha Oracle.
he ya tenian que las sus desventajas y ps si vaya fallo se supone que esta a ka pero claro entre “”