Computerworld News Service: Tilstedeværelsen af sårbarheder, der kan udnyttes uden autentificering "betyder, at ens database er på herrens mark, med mindre man installerer denne patch," udtaler Slavik markovich, teknologichef for databasesikkerhedsvirksomheden Sentrigo.
17 af de 41 sikkerhedsrettelser, der blev udsendt tirsdag, er til Oracles databaseprodukter, to af dem er af sårbarheder, der kan fjernudnyttes over netværk uden autentificering. Resten af rettelserne er spredt over Oracles Application Server, Collaboration Suite og E-Business Suite samt virksomhedens PeopleSoft- og Siebelsoftware.
SQL-injections er blandt de angreb, som kunder risikerer, hvis ikke de installerer disse patches, oplyser Slavik Markovich.
Teknologien Advanced Queuing i Oracles database er blevet forbundet med SQL-injections, hvor ondsindede brugere opnår forhøjede rettigheder og stjæler data såsom kreditkortinformationer, udtaler han. To sårbarheder relateret til databasekomponenten Advanced Queuing er anført i den kvartalsvise kritiske patchopdatering fra i tirsdags.
Installer kun det nødvendige
De 41 rettelser overstiger de 26 sikkerhedsfejl, der blev rettet i den sidste patchopdatering fra januar, men er mindre end de 51 patches, der blev udgivet af Oracle sidste oktober. Markovich ser ingen tegn på, at der bliver færre sårbarheder, som tiden går.
"Det ser ud til, at databasen indeholder så mange moduler og så mange linjer kode, at jeg faktisk forventer, at rettelserne forbliver i dette tempo," siger han.
Oracles databasekunder kan undgå nogle af problemerne fra starten af ved ikke at installere de moduler, som de ikke får brug for, ifølge Markovich. Brugere kommer i problemer, når de installerer samtlige dataabase-komponenter, selv når det ikke er nødvendigt.
"Ved at have unødvendige moduler i databasen forøger man sine sårbare overflader," udtaler Markovich.
Blandt sårbarhederne i Oracles database påvirker de to, der kan fjernudnyttes uden brugernavn og password, databasens autentificeringssystem og Oracle Application Express, som er et udviklingsværktøj til databasen til at lave webapplikationer i.
11 sikkerhedsrettelser er anført til Oracle E-Business Suite og relaterede applikationer, inklusiv syv, der kan udnyttes uden autentificering. Alle tre sikkerhedsrettelser, der påvirker Oracle Application Server, kan fjernudnyttes uden autentificering.
Seks rettelser, inklusiv tre af sårbarheder, der kan udnyttes uden autentificering, påvirker Oracle Siebel Enterprise Suites SimBuilder, et værktøj til udvikling af indhold af online læringsprogrammer. Tre rettelser påvirker PeopleSoft-værktøjer, og en påvirker Oracle Enterprise Manager.
Oversat af Thomas Bøndergaard
