Oracle ha anunciado por primera vez con antelación, lo que será su
publicación trimestral de parches de seguridad. Un resumen previo al
estilo Microsoft que adelanta el número y la criticidad de las
actualizaciones previstas para el próximo día 16 de enero.
Oracle publicará un total de 52 parches de seguridad (menos de los que
vienen siendo habituales) para Oracle Database, Application Server,
Enterprise Manager, Identity Management, E-Business Suite, Developer
Suite y PeopleSoft Enterprise People Tools. Diez de los 27 dedicados a
su base de datos, podrán ser aprovechados por atacantes a través de la
red sin necesidad de usuario ni contraseña válidos.
Con esta nueva estrategia de anuncio previo de boletín de seguridad,
Oracle pretende facilitar a los administradores de sus productos la
planificación de aplicación de parches. A nadie se le escapa la analogía
con la estrategia de Microsoft. Ya en agosto de 2004 (sólo 10 meses
después de que lo hiciera Microsoft) reorganizó su publicación de
parches de forma mensual, para modificarla poco después a una
planificación trimestral, tal y como se mantiene hoy día.
En octubre de 2004, Microsoft decidió además advertir algunos días antes
de la publicación del número de parches planeados, gravedad y productos
afectados. Poco más de dos años después Oracle le copia, por segunda
vez, la estrategia, aunque ha ido un poco más lejos y en su avance.
Oracle ofrecerá además «cualquier información relevante que ayude a las
organizaciones a planificar la aplicación del CPU (Critical Patch
Update) en su entorno».
Este nuevo cambio en la estrategia de seguridad de Oracle viene a
confirmar una clara tendencia de la compañía por mejorar su imagen en
este sentido. En octubre de 2006 anunció que mejoraría su sistema de
notificación de alertas de seguridad, añadiendo desde entonces un rango
de criticidad a sus boletines, un sumario más detallado sobre las
vulnerabilidades corregidas y una sección destacada de los fallos
críticos y prioritarios…. Además, se ayuda de CVSS (Common
Vulnerability Scoring System), un estándar que gradúa la severidad de
manera estricta a través de fórmulas establecidas.
Estos movimientos se han producido tras un largo periodo en el que
Oracle ha sido criticada hasta la saciedad por su estrategia general de
seguridad desde aquel fallido lema de «unbreakable» (irrompible). En los
últimos meses, publicaciones como la de David Litchfield que afirmaba
que MS SQL era mucho más seguro, unido a los continuos problemas de
seguridad, con largos periodos (mínimo trimestral y con un récord de 800
días) en los que no se ha proporcionado un parche para algún error, el
anuncio frustrado de la creación de la semana de los fallos en Oracle…
han ido deteriorando la imagen de la compañía de las bases de datos.
Está claro que esta nueva estrategia de Oracle está orientada a
restaurar la confianza de posibles clientes y ayudará a los
administradores. Lo que no estará tan claro para muchos es que se tome
como modelo parte de la política de Microsoft. La imagen de la
referencia que han decidido adoptar se encuentra también deteriorada en
cuestión de seguridad.
ssantos@hispasec.com
Más información:
Critical Patch Update Pre-Release Announcement
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html
Litchfield: Comparado con Oracle, Microsoft SQL Server es más seguro
http://www.hispasec.com/unaaldia/2951
Oracle ofrecerá más y mejor información en sus boletines de seguridad
http://www.hispasec.com/unaaldia/2915
Deja una respuesta