De acuerdo con el alerta de seguridad que publicó Oracle esta mañana, prácticamente todas las versiones de su reconocido software de bases de datos publicadas en los últimos 13 años, presentan un fallo de seguridad que permitiría monitorizar las conexiones a los servidores y hasta introducir malware en ellos. Para colmo, la compañía estudia efectuar las correciones sólo en los futuros lanzamientos.
El problema está relacionado con el TNS Listener, el proceso que responde a las solicitudes de conexión con las bases de datos, a través de determinado puerto. Según el investigador de seguridad Joxean Koret, los servidores que posean puertos de escucha abiertos a Internet, poseen una vulnerabilidad gracias a la cual un hacker podría interceptar las conexiones y hacerse pasar por un usuario legítimo.
Si bien la empresa está al tanto de este bug (denominado Oracle TNS Poison) y reconoció al investigador por ello, aún no se publicó un parche y tampoco se haría en las versiones que todavía son soportadas por la compañía. ¿Por qué? En ese mismo alerta de seguridad, Oracle explicó que muchos clientes solicitaron que no lo hicieran, por la gran posibilidad de sufrir regresiones en sus implementaciones.
La situación empeora si tenemos en cuenta que Koret publicó los detalles junto con una prueba de concepto, creyendo que se habían efectuado las correcciones necesarias al lanzar los parches más recientes. Como esto no fue así, ahora se convirtió en un fallo 0-day que todavía no fue resuelto y recién tendría una solución en los próximos lanzamientos del software de bases de datos.
Así las cosas, la compañía publicó una serie de medidas para reducir los riesgos, efectuando cambios en la configuración. Pero, de todas formas, debe ser un llamado de atención sobre la manera de tomar conocimiento y resolver los fallos porque, en este caso, el remedio fue peor que la enfermedad.
O por dios, que barbaridad, donde estan los haters? si esto fuera de SQL Server estaría lleno de comentarios llenos de furia, odio, rencor. :(
A nadie le importan las bases de datos,bueno un manzanero quizas maldiga a SQL Server por ser de microsoft y un linuxero hable de mysql y otro linuxero de postgres.
MySql hace rato que es de Oracle. Igual, trabajando hace 15 años con Bases de Datos Oracle puedo asegurar que no hay quien le haga sombra en el mercado en lo que respecta a robustez, velocidad y seguridad de datos.
Yo pensaba que la mayoría de las empresas grandes mantenian sus servidores de BD fuera del alcance de Internet y supongo que asi es porque sino todos podrían ya estar llorando sangre. Nuestra topología es así y me da miedo pensar en tener mi BD "pública" y al alcance de todos =s...
A veces se suelen publicar instancias de desarrollo, aunque lo mejor sería ponerlas detrás de una VPN.
aplicacion gratis para android con mas de 700 recetas vegetarianas!! https://play.google.com/store/apps/details?id=kim.recetas.veganas
Updating one's signature I can urdtnseand, but going back through all your older posts that you've ever made and updating their signature with your new employer? I'm having a hard time seeing why someone would do that unless they were asked to.