Lue uutinen mobiilisivustolla

Oracle paikkasi yli 50 aukkoa

2.9.2004 09:51 Oracle siirtyi kuukausittaiseen tietoturvapäivitysten julkaisuun komeasti yli 50 haavoittuvuuden korjaamisella. Yli puolet aukoista löytänyt NGS Software kertoi panttaavansa tarkempia tietoja kolmen kuukauden ajan.

Oracle julkaisi haavoittuvuuksia käsittelevän varoituksen (pdf) tiistain ja keskiviikon välisenä yönä Suomen aikaa. Yhtiö kertoi viime kuussa siirtyvänsä kuukausittaiseen tietoturvapäivitysten julkaisuun jo elokuussa. Päivityspaketti ennätti ulos juuri ja juuri luvattuun määräaikaan mennessä.

NGS Softwaren tutkija David Litchfield löysi alkuvuonna yli 30 haavoittuvuutta Oraclen tietokantaohjelmistoista. Yhdysvaltalaisen eWeek.com-uutispalvelun mukaan Litchfieldin löytämien aukkojen lisäksi Oraclen päivitykset kattavat myös yli 20 Application Security Inc:n ja 5 - 10 Integrity Corp:n löytämää aukkoa.

Muutama madonreikä

F-Securen teknologiajohtaja Mikko Hyppönen kommentoi Oracle-aukkoja yhtiön nettilokissa torstaina. Hän arvioi, että muutamaa aukoista voisi käyttää MS SQL -tietokantojen Slammer-madon tapaisen verkkomadon levittämisessä.

Hyppösen mielestä matouhkaa pienentää kuitenkin se, että MS SQL -haavoittuvuuksien tapaan hyväksikäyttömenetelmiä ei ainakaan toistaiseksi ole julkisesti saatavilla. Slammer-mato ruuhkautti internet-liikennettä ympärimaailmaa viime vuoden tammikuussa.

Oraclen mukaan vakavimmat aukot löytyvät Database Server- ja Application Server -ohjelmistoista. Yhtiö jakaa päivityksiä metalink-päivityspalvelunsa kautta.

Lisää tulossa

Application Security Inc:n perustaja ja markkinointijohtaja Eric Gonzales sanoi eWeek.comille yhtiön tutkijoiden jatkavan Oraclen tuotteiden tarkastelua. Gonzalesin mukaan tutkijat ovat edelleen löytäneet uusia haavoittuvuuksia Oraclen tuotteista.

Integrity Corp:n teknologiajohtaja Stephen Kost puolestaan kertoi eWeek.comille, että Oracle ei saanut kaikkia heidän löytämiään aukkoja tukkittua vielä tällä kierroksella.

Litchfieldin NGS Software kertoi keskiviikkona panttaavansa tietoja löytämistään aukoista vielä kolmen kuukauden ajan. Tietoturvayhtiö haluaa näin antaa Oracle-tietokantojen ylläpitäjille aikaa testaukselle ja päivitysten asentamiselle.

Haavoittuvat ohjelmistot

Database 10g Release 1, versio 10.1.0.2
Oracle9i Database Server Release 2, versiot 9.2.0.4 ja 9.2.0.5
Oracle9i Database Server Release 1, versiot 9.0.1.4, 9.0.1.5 ja 9.0.4
Oracle8i Database Server Release 3, versio 8.1.7.4
Oracle Enterprise Manager Grid Control 10g, versio 10.1.0.2
Oracle Enterprise Manager Database Control 10g, versio 10.1.0.2
Oracle Application Server 10g (9.0.4), versiot 9.0.4.0 ja 9.0.4.1
Oracle9i Application Server Release 2, versiot 9.0.2.3 ja 9.0.3.1
Oracle9i Application Server Release 1, versio 1.0.2.2

Jaakko Kuivalainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Hyvinkään epäilty ampuja poistui kesken illanvieton hakemaan aseita

• Hyvinkään ampumisissa haavoittuneet leikattu – naispoliisi yhä kriittisessä tilassa
• Hyvinkään ampumisista epäiltyä luonnehditaan ujoksi ja hiljaiseksi
• Epäilty ampuja yöllä Facebookissa: "Oli kivaa toverit"
• Hyvinkään epäillyn ampujan motiivi yhä hämärän peitossa