IRCERT - اوراكل و رفع بيش از 30 مشكل امنيتي

صفحه اول > اخبار و هشدارها

اوراكل و رفع بيش از 30 مشكل امنيتي

3 آگوست 2004 – 13 مرداد 1383

شركت اوراكل - سازنده نرم افزار پايگاه داده مشهور اوراكل – امروز قول داد كه هرچه سريعتر اصلاحيه هايي را براي پوشش بيش از 30 حفره امنيتي شناخته شده توسط يك محقق امنيتي انگليسي عرضه كند.

البته هنوز جزئيات اين مشكلات گفته نشده است اما ديويد ليچفيلد - محقق انگليسي – هفته گذشته در لاس وگاس در Black Hat Security Briefings اطلاعاتي كلي و عمومي را در اين باره ارائه كرد.

اوراكل طي بيانيه اي كه اخيرا درباره اين موضوع صادر شده ، گفته است:“ امنيت براي ما موضوع مهمي است. ما سعي داريم تا امنيت را در اصل و ذات محصولات خود بهتر و بهتر كنيم. اوراكل اين مشكلات را مرتفع كرده و به زودي هشدار امنيتي مربوطه صادر خواهد شد.“

ليچفيلد كه مديريت شركتNext-Generation Security Software را به عهده دارد، قصد داشت اطلاعات مربوط به اين مشكلات را هفته گذشته منتشر كند اما به دليل ارائه نشدن اصلاحيه ها از اين كار منصرف شد. ليچفيلد در ماه ژانويه اوراكل را از وجود اين شكافها كه بعضا خطرناك هستند، مطلع كرده است.

حفره هاي امنيتي كشف شده توسط ليچفيلد تنها مشكلاتي نيستند كه امسال اوراكل با آنها برخورد داشته است. در ماه ژوئن نيز اين شركت اصلاحيه اي را براي پوشاندن يك مشكل امنيتي مهم در Oracle 11i E-Business Suite ارائه كرد.

ليچفيلد از صحبت درباره جزئيات اين حفره ها امتناع كرده اما طيف آنها را گسترده معرفي كرده است. وي اشاره كرده كه در اين مجموعه از سرريز بافر و heap تا حفاظت ضعيف از كلمات عبور وجود دارد. وي افزوده است كه در بعضي موارد كاربران بدون وارد كردن نام كاربري و كلمه عبور مي توانند به سيستم دسترسي پيدا كنند و در بعضي موارد ديگر مي توانند حق دسترسي محدود خود را تغيير داده و خود را به سطح مدير پايگاه داده ارتقا دهند.

ليچفيلد مي گويد كه وي كار بر روي مشكلات امنيتي اوراكل را دو سال پيش آغاز كرده است. در آن زمان اوراكل تبليغات زيادي بر روي قدرت امنيتي نرم افزار خود به راه انداخته بود. ليچفيلد مدعي است كه در آن زمان و تنها ظرف مدت 24 ساعت وي به كمك همكارانش توانسته بود نزديك به 50 مشكل امنيتي را در اين نرم افزار بيابد.

ليچفيلد معتقد است هر فردي با بررسي ليست هاي ارائه شده از اصلاحيه هاي امنيتي اوراكل مي تواند به قابل نفوذ بودن محصولات اين شركت پي ببرد اما تاكيد مي كند كه اوراكل نيز همانند مايكروسافت و IBM سعي دارد تا به مشكلات امنيتي كشف شده اهميت بدهد و از اين نظر ديگر قابل سرزنش نيست. گفته مي شود ممكن است اوراكل نيز بخواهد روشي همانند مايكروسافت را در برخورد با مشكلات امنيتي در پي بگيرد.