To år efter at være blevet gjort opmærksom på en række sikkerhedshuller i selskabets software, har Oracle ikke rettet fejlene. Derfor går det tyske sikkerhedsfirma, som fandt sikkerhedshullerne, nu ud og advarer kunderne.
Sikkerhedsfirmaet Red-Database-Security, som har specialiseret sig i Oracle-produkter, advarede i april Oracle om, at hvis selskabet ikke fik lukket sikkerhedshullerne, ville sikkerhedsfirmaet offentliggøre dem.
Oracle udsendte i sidste uge sine seneste kvartalsmæssige sikkerhedsopdateringer uden rettelser af de pågældende sikkerhedshuller.
Derfor har Red-Database-Security frigivet detaljer om sikkerhedshullerne sammen med firmaets egen løsning.
Ifølge forretningschef Alexander Kornbrust fra det tyske sikkerhedsfirma er der tale om sikkerhedshuller, som er nemme at udnytte.
- I et af tilfældene skal man bare indtaste en bestemt URL, siger Alexander Kornbrust.
Flere sikkerhedsfirmaer giver blot en frist på tre måneder, før de vil have et svar fra producenten. Argumentet for at offentliggøre sikkerhedshuller, som ikke er lukket, er som regel, at når sikkerhedsfirmaet kan finde dem, så kan ondsindede personer sandsynligvis også.
Yderligere sikkerhedshuller
Hos Oracle ønsker man ikke at kommentere de konkrete sikkerhedshuller. Selskabet oplyser, at det tager sikkerhedsproblemer alvorligt og retter rapporterede sårbarheder i prioriteret rækkefølge.
- Det skuffer os, når detaljer omkring sikkerhedshuller i vores produkter bliver gjort tilgængelige for offentligheden, før vi har kunnet udsende en opdatering, siger en talsmand for Oracle.
Alexander Kornbrust Red-Database-Security forklarer, at selskabet har afholdt sig fra at frigive oplysninger om yderligere en række sikkerhedshuller, fordi det ikke samtidig var muligt at levere en midlertidig løsning.
- Jeg tilbød Oracle ekstra tid til at rette fejlene, fordi jeg er klar over, at deres applikationsserver og database er komplekse produkter, hvor det ikke er let at rette en fejl, siger han.
Oracle er tidligere blevet kritiseret af andre sikkerhedsfirmaer for at være for langsomme til at rette sikkerhedshuller. Oracle er for nylig gået over til kvartalsmæssige sikkerhedsopdateringer i stil med en række andre softwareleverandører.
Relevante link