Investigador en seguridad advierte sobre brechas en bases de datos Oracle

22 Nov 2006 en Software

Por las dudas, los usuarios de bases de datos Oracle deberían al menos prestar algo de atención a las advertencias de un investigador que presagia un diciembre caliente.
Como informáramos hace algunas semanas, a finales de octubre Oracle liberó algo más de 60 patches, atendiendo a brechas de seguridad en sus productos. Un importante esfuerzo, sin duda.
Pero el fundador y CEO de Argeniss Security Research Team, César Cerrudo, cree que hay muchas otras brechas que no han sido solucionadas y que son de su conocimiento.
Cerrudo anunció sus planes de informar sobre un bug o brecha cada día durante una semana completa de diciembre. A este movimiento, lo ha bautizado como “The Week of Oracle Database Bugs” (WoODB). De esta manera, sigue los pasos del creador de Metasploit, H.D. Moore, quien en julio de este año creó el “Mes de los Bugs de Browsers.” En un esfuerzo por crear conciencia sobre la seguridad de los browsers, Moore liberó un bug por día durante todo ese mes.
Según Cerrudo, su WoODB es para ayudar a los usuarios de bases de datos Oracle. “Creo que la seguridad de los usuarios de Oracle se favorece cuando vean la real amenaza que enfrentan utilizando software con brechas y, de esta manera, comenzarán a presionar a Oracle pidiendo respuestas para la mejora de la seguridad. Además, si uno conoce las amenazas, se puede proteger mejor que si no las conoce.”
Cerrudo eligió a Oracle porque los productos de esa compañía, en su opinión “contienen montones de vulnerabilidades sin corregir.” Hizo esta aclaración porque Argeniss Security Research está, según sus comentarios, al tanto de otras explotaciones tipo Zero-day para bases de datos de otros proveedores.
Cerrudo mencionó que Oracle no se había contactado con él y hasta el momento no se conocen comentarios por parte de Oracle. Como estas cosas suelen ir muy rápido, recomendamos a los lectores que se asomen con alguna frecuencia al Global Product Security Blog de Oracle http://blogs.oracle.com/security/
En su última actualización de patches, Oracle amplió el detalle de su información sobre las fallas reportadas y corregidas, lo cual tuvo una muy buena recepción en el mercado. A partir de esa actualización, se identifican las vulnerabilidades que son explotables remotamente sin requerir autenticación en el sistema objetivo.
Para Cerrudo, eso no es suficiente. “Podríamos hacer un año entero de bugs de bases de datos Oracle, aunque con una semana nos haremos escuchar,” concluyó.