En un movimiento similar al que mantiene en la actualidad Microsoft,
Oracle anuncia que distribuirá las actualizaciones de sus productos de
forma mensual.
Oracle publicará parches mensuales para sus productos de bases de
datos, servidor de aplicaciones y Enterprise Manager. Hasta el momento,
Oracle ha publicado las actualizaciones en el momento en que era
necesario. Pero ahora cambia esta política, ya que según la compañía un
solo parche que englobe múltiples correcciones, con una agenda
previamente determinada, cumple mucho mejor las necesidades de los
clientes.
Esta nueva política y los argumentos son exactamente los mismos que los
que Microsoft estableció a finales del año pasado y que, en lo que a
marketing se refiere, le está dando buenos resultados. El argumento de
que al publicar una única actualización mensual, permite a los
administradores planificar las actualizaciones, ya fue rebatido
duramente por nuestros lectores, ya que son las empresas las que
planifican sus propias políticas de actualizaciones y que éstas no
deben estar condicionadas por terceras empresas.
El problema va mucho más lejos, en los últimos días la compañía había
recibido fuertes críticas al darse a conocer que durante más de 8 meses
existían hasta 34 vulnerabilidades reconocidas por la propia compañía y
para las que incluso ya disponía de las correspondientes
actualizaciones. Sin embargo, sin una causa razonable seguían
retrasando de forma intencionada los parches necesarios para evitar
problemas tan graves como desbordamientos de búfer explotables
remotamente o acceso no autorizado a las bases de datos mediante
técnicas de inyección.
Con fecha 31 de agosto, Oracle ha publicado el primero de sus
super-parches, eso sí, sin dar ningún tipo de detalles sobre el número
y tipo de los problemas corregidos, su gravedad, implicaciones, etc.
Tan solo avisa de la publicación de una actualización para nueve de sus
productos (incluyendo Oracle Database, Oracle Enterprise Manager Grid
Control, Oracle Enterprise Manager Database Control y Oracle
Application Server), los usuarios deberán creer en la importancia de
este parche e instalarlo. Posiblemente todo responda a una operación de
marketing, no debe ser fácil para una compañía que publicita sus
productos como «irrompibles» («unbreakable») reconocer públicamente que
tiene 34 fallos y que permiten el control total de los sistemas
afectados.
Tras esta nueva política de actualizaciones de Oracle, no podemos ver
ningún beneficio para la comunidad, siempre nos hemos mostrado
totalmente contrarios a la seguridad por oscuridad. Que una
vulnerabilidad no se publique, no quiere decir que no existan ataques
basadas en ellas que estén pasando desapercibidos. El sistema debe ser
seguro por diseño, no porque no se publiquen o se oculten sus fallos.
No a la seguridad por oscuridad.
Lamentablemente solo podemos pensar que todo es una nueva maniobra de
marketing para tratar de ocultar que Oracle se ve afectado por
problemas de seguridad (al igual que la mayoría del software).
Evidentemente no es lo mismo publicar un único parche global para todos
los productos al mes, que publicar un número indeterminado a lo largo
del mes. Si se publican muchos parches la repercusión mediática es
mayor y a los usuarios les queda la sensación de un producto inseguro,
con frecuentes vulnerabilidades. Con solo publicar un parche global al
mes, sin indicar incluso el número de problemas corregidos, a los
usuarios les queda la impresión de que solo existe un fallo, nada más
lejos de la realidad.
antonior@hispasec.com
Más información:
Oracle switches to monthly patch as hackers target enterprise apps
http://www.microscope.co.uk/articles/article.asp?liArticleID=132935&liArticleTypeID=20&liCategoryID=2&liChannelID=22&liFlavourID=2&sSearch=&nPage=1
Oracle’s Silence on Database Security Wearing
http://www.eweek.com/article2/0,1759,1637213,00.asp
Oracle Still Sitting on Database-Security Patches
http://www.eweek.com/article2/0,1759,1637004,00.asp
Alert #68: Oracle Security Update
http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf
Deja una respuesta