|
|
A última versão do banco de dados da Oracle, o 11g é mais segura que as versões anteriores, mas possui erros de desenvolvimento que abrem vulnerabilidades, permitindo o roubo de dados, alertou um especialista nesta segunda-feira (03/09).
“A Oracle fez um grande progresso com o 11g, mas algumas das vulnerabilidades são erros estúpidos de programação”, declarou o diretor da Red Database Security GmbH, Alexander Kornbrust, durante a conferência de segurança Hack In The Box (HITB), na Malásia.
Kornbrust encontrou vulnerabilidades na injeção SQL, que permite aos crackers rodarem códigos maliciosos, e também descobriu uma forma de enganar a capacidade de auditoria, tanto no 11g quanto em outras versões do banco de dados.
O diretor não planeja divulgar qual método usou para burlar a capacidade de auditoria até que a Oracle ajuste o problema.
Algumas falhas descobertas por Kornbrust refletem problemas de arquitetura do banco de dados da Oracle. O executivo pretende mostrar, em uma palestra durante o evento, como esta questão permite que crackers “ignorem” as ferramentas de segurança da Oracle.
O custo e tempo necessários para ajustar uma única vulnerabilidade no banco de dados da Oracle pode ser grande. Segundo Kornbrust, em uma empresa alemã que possui oito mil bancos de dados da Oracle, rodar um único ajuste pode precisar de 32 mil horas de trabalho.
“Isto sem contar os 60 administradores em tempo integral e os gastos para testar o ajuste em cada banco de dados”, explicou o executivo.
Para cada vulnerabilidade ajustada, a Oracle deve desenvolver um ajuste para cada versão que seu banco de dados suporta, com uma versão para cada plataforma de hardware e sistema operacional em que o software roda. “São em torno de 100 ajustes separados para cada vulnerabilidade”, explica Kornbrust.
Fonte: IDGNOW
Voltar |