Oracle mejorará su sistema de notificación de alertas de seguridad,
añadiendo más información a la descripción de las vulnerabilidades.
Esto responde a una aclamada demanda por parte de administradores de
sus bases de datos, que sufrían desde hace años un confuso sistema
trimestral de parches y kilométricos boletines.
Parece que Oracle ha acabado reconociendo que la forma en la que venía
describiendo sus problemas de seguridad resultaba manifiestamente
mejorable y ha decido rediseñar su sistema de boletines que hasta ahora
venía siendo poco más que un jeroglífico. Incluso para usuarios
instruidos, parchear una base de datos podía convertirse en toda una
hazaña, en la que primero habría que moverse entre enormes tablas o
matrices para dar con la versión exacta de cada una de las (normalmente
entre 60 y 80) vulnerabilidades que se corrigen trimestralmente.
Componentes de aplicaciones, parches acumulativos, versiones con y sin
contramedidas, interminables matrices de riesgo… no son pocos los
administradores que desisten directamente cuando se enfrentan
trimestralmente a tan complicada tarea.
En su edición de octubre de CPU (Critical Patch Update), prevista para
el día 17, Oracle añadirá un rango de criticidad a sus boletines, un
sumario más detallado sobre las vulnerabilidades corregidas y una nueva
sección que destacará los fallos que pueden ser aprovechados de forma
remota sin necesidad de autenticación (los que pueden considerarse, por
tanto, como críticos y prioritarios).
Para ello, se ayudará de CVSS (Common Vulnerability Scoring System), un
estándar que gradúa la severidad de manera estricta a través de fórmulas
establecidas. De esta forma los administradores conocerán de manera
objetiva (a través de un número) la gravedad de los fallos. Podrán así
dar prioridad a la hora de parchear. Además, los fallos más graves
aparecerán en primera posición de los boletines. Hasta ahora se ofrecían
complejas subtablas que calificaban la facilidad de aprovechar el fallo
y el impacto del problema en los tres pilares de la seguridad de la
información: la confidencialidad, integridad y disponibilidad de los
datos.
CVSS es un sistema ya usado por compañías como Cisco, Qualys, Nessus y
Skype que basa el cálculo de rango de criticidad en tres puntuaciones:
Base (a su vez calculada a través de siete factores), temporal (un valor
calculado a partir de tres factores) y «ambiental» (a través de dos). De
estos tres factores principales, los dos últimos (temporal y ambiental)
pueden modificar y corregir el primero (la puntuación base) según las
circunstancias volátiles de la vulnerabilidad. Un sistema riguroso y
objetivo que espera convertirse en el estándar de calificación de
vulnerabilidades. En el apartado de más información se adjunta una
«calculadora» en línea de CVSS a partir de la introducción de todos
los factores.
El sumario, el destacado de las vulnerabilidades más graves, y
la adopción de un estándar para calificar las vulnerabilidades,
constituirán sin duda un cambio significativo en un sistema de alertas
que carecía de información clara y precisa sin necesidad de bucear en
un denso y complicado texto. Este oscurantismo unido a los numerosos
errores encontrados en sus parches (en este sentido David Litchfield
ha sido pieza clave) y en ocasiones incluso los largos periodos
(mínimo trimestral y con un récord de 800 días) en los que no se
ha proporcionado un parche para algún error, no convierten a Oracle
en un paradigma a seguir en este sentido. Esperamos que este sea el
primer paso para una mejor seguridad de una de las bases de datos
más utilizadas en entornos empresariales.
ssantos@hispasec.com
Más información:
Zero-day details underscore criticism of Oracle
http://www.securityfocus.com/brief/118
Oracle taken to task for time to fix vulnerabilities
http://www.securityfocus.com/news/11252
CVSS Calculator:
http://www.patchadvisor.com/PatchAdvisor/CVSSCalculator.aspx
Oracle to Enhance Patch Documentation with CVSS
http://www.windowsitpro.com/Article/ArticleID/93861/93861.html?Ad=1
Changes Introduced With October 17th Critical Patch Update
http://blogs.oracle.com/security/
Oracle Security Alerts Get Overdue Makeover
http://www.eweek.com/article2/0,1759,2028804,00.asp
Deja una respuesta