Siguiendo la estela del «mes de los fallos en navegadores» y del «mes de
los errores en el núcleo», Cesar Cerrudo emprende una nueva campaña
centrada en un solo producto: La semana de los bugs en Oracle (Week of
Oracle Database Bugs) ha sido anunciada para principios de diciembre.
Como ya hiciera HD Moore en julio con su «mes de los fallos en los
navegadores», y LMH ahora en noviembre con la iniciativa «mes de los
errores en el núcleo» llega «la semana de fallos en Oracle» de la mano
de Cesar Cerrudo, director de Argeniss y experto en seguridad de bases
de datos.
La WoODB se centrará en la publicación de una vulnerabilidad o error
por día durante una semana, caracterizadas por no tener solución oficial
y ser desconocidas hasta el momento. El hecho de que la iniciativa sea
más corta que las anteriores no quiere decir que no existan errores
suficientes. Su creador indica que bien podrían hacer «el año de los
fallos en Oracle» sin ningún problema. Una semana, sin embargo, les ha
parecido suficiente para llamar la atención sobre el problema de
seguridad de Oracle, que no distribuye productos seguros ni sus
actualizaciones a tiempo. Añade que incluso la compañía miente sobre sus
esfuerzos de seguridad. Cerrudo también dice haber elegido Oracle por su
posición en el mercado, aunque aclara que la semana podría haber sido
dedicada a cualquier otro producto, porque asegura tener «0 days» para
otros sistemas de bases de datos. Aunque no lo mencione, parece obvio
que una de sus motivaciones añadidas es dar a conocer su empresa.
El proyecto ha recibido críticas negativas de Alexander Kornbrust,
experto de Red-Database-Security que piensa que no contribuirá a
mejorar la seguridad. Es muy poco probable que Oracle rompa su ciclo
trimestral de actualizaciones y por tanto no habrá nuevos parches hasta
enero o abril de 2007. Kornbrust también piensa que Oracle ha mejorado
la seguridad durante 2006.
Es cierto que Oracle ha mejorado su sistema de notificación de alertas
de seguridad, pero es más cuestionable que haya mejorado la seguridad en
sí. En su último paquete de actualizaciones, añadió más información a la
descripción de las vulnerabilidades respondiendo a una aclamada demanda
por parte de administradores de sus bases de datos, y reconociendo que
la forma en la que venía describiendo sus problemas de seguridad
resultaba manifiestamente mejorable. Ha rediseñado su sistema de
boletines ayudándose de CVSS (Common Vulnerability Scoring System), un
estándar que gradúa la severidad de manera estricta a través de fórmulas
establecidas.
Pero sin ir más lejos David Litchfield demostraba a través de un informe
hace unos días que Oracle sufre demasiados problemas de seguridad, que
van en aumento, y que tiene otros tantos que les queda por corregir. La
semana de fallos en Oracle será una pequeña muestra.
ssantos@hispasec.com
Más información:
The Week of Oracle Database Bugs
http://www.argeniss.com/woodb.html
After two ‘Hole Months’, now a ‘Hole Week’
http://www.heise-security.co.uk/news/81412
(22/11/2006) Litchfield: Comparado con Oracle, Microsoft SQL Server es
más seguro
http://www.hispasec.com/unaaldia/2951
Oracle ofrecerá más y mejor información en sus boletines de seguridad
http://www.hispasec.com/unaaldia/2915
Deja una respuesta