甲骨文可能在新的产品中增加更多的安全代码。但是,一些专家表示,这对于使用充满漏洞老的甲骨文软件的企业来说没有什么帮助。
这些专家补充说,甲骨文发布补丁的过程仍然使人们不满意,因为甲骨文经常忽略一些关键的安全漏洞,时间长达几个月甚至几年的时间,从而使企业的数据库容易受到各种攻击。德国Red-Database-Security GmbH公司数据库安全研究员和业务经理Alexander Kornbrust说,甲骨文上个月发布的重要补丁更新就是这种不充分的极好例子。这个补丁更新修复了甲骨文各种产品中的36个安全漏洞。但是,有些补丁还不完善,还有许多其它的问题没有解决。
Kornbrust的网站保留一个甲骨文公开的安全漏洞的列表。这个列表最新列出的安全漏洞是45个。最早的一个安全漏洞是在2003年发现的。许多安全漏洞是在去年首次发现的。而且这些安全漏洞全都是Kornbrust本人发现的。
Kornbrust说,如果你统计不同的研究人员发现的每一个东西,甲骨文的产品有130至140个公开的安全漏洞。甲骨文的代码和产品的质量正在越来越好。但是,甲骨文修复安全漏洞所用的时间太长了。按照我的观点,一年以上的安全漏洞是不可接受的。
《Oracle Security Step By Step》一书的作者Pete Finnigan也赞成这样的观点。他对于这个主题发表了许多受欢迎的博客文章。他在电子邮件采访中表示,甲骨文尽了很大努力改进比较新的产品中的代码。但是,甲骨文没有尽力修复老产品中的安全漏洞。由于许多用户没有使用甲骨文最新的产品,因此,这是一个问题。他说,我问过的许多人都没有使用甲骨文数据库 10g第二发布版。甲骨文的重点应该放在大多数用户正在使用的版本上。
Finnigan对甲骨文4月份的补丁更新中推迟发布某些平台的安全补丁也感到不以为然。他说,这个补丁下载网页称,有些平台的补丁将在5月1日或者5月15日推出。这不是每季度发布补丁的周期。
不完善的补丁
甲骨文因为发布针对某些安全问题的不完善的安全补丁一直受到批评。Kornbrust说,甲骨文今年4月份发布的不完善的安全补丁之一影响到了 “Oracle Spatial”工具软件。他在自己网站上发表的一篇分析文章指出,Oracle 9.2.0.7的一个补丁是不正确的,Spatial软件包中的一个参数没有适当地消毒。这就意味着敏感的数据没有适当地删除或者隔离。
英国下一代安全(NGS)软件公司总经理David Litchfield说,甲骨文4月份发布的安全补丁是尽了努力了,但是,没有解决一个早在2004年4月就发现的问题。
Litchfield说,他在2004年4月13日首次报告了10g第二发布版中GET_DOMAIN_INDEX_METADATA函数中的一个SQL注入安全漏洞。甲骨文在2004年8月发布了一个修复这个安全漏洞的补丁。但是,那个布丁被证明是不充分的。
从那以后,甲骨文每一次发布安全补丁的时候都设法修复这个安全漏洞。但是,Litchfield发现,每一次的补丁都是不完善的。于是,甲骨文在下一次发布安全补丁更新时就再一次发布这个补丁。
Litchfield说,我听说2006年4月份的甲骨文重要补丁更新中包含一个补丁。但是,那个补丁仍然有漏洞。他说,甲骨文不能利用第一次机会修复一个安全漏洞令人感到遗憾。甲骨文不能第二次修复一个安全漏洞令人感到诧异。按照我的观点,甲骨文第三次仍然不能修复一个安全漏洞简直是丢脸。
一个熟悉的故事
对于甲骨文来说,对于其发布补丁的过程提出批评并不是一件新鲜事。甲骨文的重要补丁更新一般都是在第三方发布警告称这些安全漏洞没有修复或者没有正确地修复之后才发布的。
Litchfield一直是甲骨文安全努力的不客气的批评家。当他在甲骨文发布2006年1月份的重要补丁更新之后对甲骨文的发布补丁的努力提出批评之后,甲骨文进行了反击。甲骨文称,它对Litchfield披露可以利用的安全漏洞的信息感到失望。
甲骨文首席安全官Mary Ann Davidson过去在采访中曾经承认,她的公司的补丁程序还不完善。但是,甲骨文已经采取了朝着正确的方向发展的步骤。她说,甲骨文决定每个季度为数据库管理员发布一次补丁更新就是一个例子。
的确,数据库管理员对每个季度发布一次安全补丁的周期表示支持。但是,最近几个月,对发布补丁迟缓的抱怨也在增加。
甲骨文没有立即对这篇报道发表评论。
Kornbrust说,甲骨文只要改善与用户之间的沟通就可以减少许多批评。例如,甲骨文的重要补丁更新应该更清楚地解释那些安全漏洞是非常重要的,哪一些安全漏洞数据库管理员不需要使用补丁就可以修复。
他说,甲骨文提供的补丁信息非常复杂。最新的安全补丁被列为严重等级。问题是,如果一个安全漏洞是严重的,整个安全补丁都会被认为是严重的。但是,对于数据库管理员来说,根据他们的基础设施的不同,有些安全漏洞会比另一些安全漏洞更严重。
Kornbrust说,在这种情况下,数据库管理员需要一些信息,帮助他们决定什么时候使用补丁,什么时候最好采取绕过漏洞的措施。
在甲骨文解决沟通和补丁程序问题之前,信息安全专业人员会在他们的机构中慎用甲骨文的产品吗?研究机构Illuminata公司的一位分析师 Jonathan Eunice说,不会。他说,所有大的、复杂的产品都有瑕疵,无论是数据库管理软件还是应用程序都是如此。客户的数据需要这些软件程序,因此,不管你愿意不愿意,这都不会改变。任何问题都需要认真地了解,任何建议的变化都需要认真测试。这需要时间。
他说,这个时间也许比每个人喜欢的时间都长一些。但是,为了提高速度,先部分修复一个安全漏洞,然后在这个过程中再制作更多的补丁。这种方法是有帮助的。虽然甲骨文的软件确实不是牢不可破的,但是,我发现它也不是非常差。