removido
(usa Nenhuma)
Enviado em 03/02/2006 - 16:14h
Oracle corrige mais de 100 falhas
Quarta-feira, 18 janeiro de 2006 - 10:49
IDG Now!
A Oracle lançou nesta terça-feira (17/01) correções para mais de 100 vulnerabilidades distintas em seus softwares de bancos de dados e servidor de aplicações, bem como nas suítes de colaboração e de e-business.
As correções, que são parte do ciclo trimestral de atualizações da Oracle, incluem falhas nas linhas PeopleSoft e J.D. Edwards, software de empresas compradas pela empresa.
Um número ainda maior de falhas afetando os bancos de dados Oracle foram listadas como tendo alto impacto em disponibilidade, integridade e confidenciabilidade.
Por exemplo, uma delas é uma vulnerabilidade em bancos de dados Oracle que permite a qualquer usuário com privilégios básicos de consulta assumir o papel de administrador.
A falha, reportada à Oracle em outubro pela empresa de banco de dados Imperva, também permite possíveis ataques em que o sistema de auditoria interno do banco de dados não grava as atividades ilegais, disse Shlomo Kramer, CEO da Imperva.
Essa é a segunda leva de correções de segurança lançados pela Oracle desde que a companhia adotou as atualizações trimestrais no ano passado. As próximas correções estão agendadas para 12 de abril.
Sob o programa de atualizações críticas, a Oracle afirmou que lançará patches altamente integrados combinado correções para múltimas vulnerabilidades de alta prioridade.
Os patches são cumulativos, o que significa que deixe de aplicar uma correção em um mês poderá instalar a correção cumulativa para endereçar os problemas anteriores e atuais.
"A Oracle fez uma série de melhorias nos últimos anos no processo de resposta à segurança, mas ainda há um longo caminho a percorrer", disse David Litchfield, diretor de gerenciamento da Surey, empresa britânica de pesquisa em segurança Next Generation Security Software Ltd.
Litchfield afirmou ainda que todas as atualizações críticas lançadas pela Oracle traziam algum tipo de falha e foram relançadas múltiplas vezes.
"Isso significa que qualquer pessoa que instalar o primeiro patch deve estar preparada para instalá-lo muitas vezes após a próxima atualização crítica", disse ele.
A agenda trimestral adotada pela Oracle também pode não ser a melhor alternativa para o usuário, segundo Kramer.
"Acho que o fato de vulnerabilidade tão sérias quanto esta [reportada pela Impeva] permanecerem sem correção por tanto tempo é assustador", afirmou o executivo.
A carência de detalhes sobre as vulnerabilidades corrigidas na atualização de terça-feira (18/01) também é um problema para ele.
"Os usuários devem entender quais são os problemas críticos para que possam endereçá-los primeiro", justifica.
Jaikumar Vijayan, Computerworld