Como ya hiciera HD Moore en julio con su “mes de los fallos en los navegadores”, y LMH ahora en noviembre con la iniciativa “mes de los errores en el núcleo” llega “la semana de fallos en Oracle” de la mano de Cesar Cerrudo, director de Argeniss y experto en seguridad de bases de datos.
La WoODB se centrará en la publicación de una vulnerabilidad o error por día durante una semana, caracterizadas por no tener solución oficial y ser desconocidas hasta el momento. El hecho de que la iniciativa sea más corta que las anteriores no quiere decir que no existan errores suficientes. Su creador indica que bien podrían hacer “el año de los fallos en Oracle” sin ningún problema. Una semana, sin embargo, les ha parecido suficiente para llamar la atención sobre el problema de seguridad de Oracle, que no distribuye productos seguros ni sus actualizaciones a tiempo. Añade que incluso la compañía miente sobre sus esfuerzos de seguridad. Cerrudo también dice haber elegido Oracle por su posición en el mercado, aunque aclara que la semana podría haber sido dedicada a cualquier otro producto, porque asegura tener “0 days” para otros sistemas de bases de datos. Aunque no lo mencione, parece obvio que una de sus motivaciones añadidas es dar a conocer su empresa.
El proyecto ha recibido críticas negativas de Alexander Kornbrust, experto de Red-Database-Security que piensa que no contribuirá a mejorar la seguridad. Es muy poco probable que Oracle rompa su ciclo trimestral de actualizaciones y por tanto no habrá nuevos parches hasta enero o abril de 2007. Kornbrust también piensa que Oracle ha mejorado la seguridad durante 2006.
Es cierto que Oracle ha mejorado su sistema de notificación de alertas de seguridad, pero es más cuestionable que haya mejorado la seguridad en sí. En su último paquete de actualizaciones, añadió más información a la descripción de las vulnerabilidades respondiendo a una aclamada demanda por parte de administradores de sus bases de datos, y reconociendo que la forma en la que venía describiendo sus problemas de seguridad resultaba manifiestamente mejorable. Ha rediseñado su sistema de boletines ayudándose de CVSS (Common Vulnerability Scoring System), un estándar que gradúa la severidad de manera estricta a través de fórmulas establecidas.
Pero sin ir más lejos David Litchfield demostraba a través de un informe hace unos días que Oracle sufre demasiados problemas de seguridad, que van en aumento, y que tiene otros tantos que les queda por corregir. La semana de fallos en Oracle será una pequeña muestra.
La generalización del modelo BYOD puede generar muchos problemas a las empresas si no toman…
Los empleadores no sólo reclaman 'hard skills', sino también capacidades como la curiosidad, la resolución…
La compañía ha presentado los resultados del cuarto trimestre de su ejercicio 2024 y para…
Oracle Code Assist está optimizado para aplicaciones Java, SQL y las basadas en Oracle Cloud…
Introduce AI Accelerator, una nueva herramienta con la que facilita la implementación de la inteligencia…
Ubicado en Donostia, este SOC dará servicio a nivel internacional con capacidad para monitorizar y…