Последняя версия флагманской базы данных Oracle защищена лучше предыдущих, однако ошибки программистов оставили в ней уязвимости, которые злоумышленники могут использовать для кражи данных.
«В 11g Oracle достигла большого прогресса, но я обнаружил некоторые уязвимости, которые являются следствием глупых ошибок программирования, - сказал Александр Корнбрюст, управляющий директор Red Database Security GmbH, в интервью на конференции Hack In The Box (HITB) Security Conference 2007 в Куала-Лампур (Малайзия). - Oracle следует провести ликбез среди своих программистов, чтобы они не оставляли таких простых уязвимостей».
Корнбрюст помогает крупным компаниям проверять безопасность своих баз данных Oracle. Исследовав ПО, он обнаружил уязвимости типа SQL injection, которые позволяют злоумышленникам исполнять вредоносный код. Он нашел также способ обойти средства контроля в 11g и других версиях СУБД, что может свести на нет усилия компании по гарантированному соблюдению нормативных требований.
На HITB, которая продлится до 6 сентября, Корнбрюст расскажет о некоторых уязвимостях Oracle, но не раскроет своего метода обхода средств контроля до тех пор, пока Oracle не решит эту проблему. Некоторые уязвимости, которые обнаружил Корнбрюст, отражают архитектурные проблемы СУБД Oracle. На конференции он планирует продемонстрировать, как такие проблемы позволяют злоумышленникам обходить новейшие средства защиты Oracle, включая Oracle Database Vault и Oracle Audit Vault.
Ввиду критический роли, которую СУБД Oracle играют в бизнесе крупных компаний, а также широкого спектра платформ, поддерживаемых этим ПО, расходы и время, необходимые для устранения уязвимостей, могут достигать колоссальных размеров. Корнбрюст привел в пример немецкую компанию, в которой 8000 баз данных Oracle. Для установки одного исправления ей может потребоваться 32 тыс. часов работы, по четыре часа на базу данных. Это выливается в 60 штатных администраторов - без учета трудозатрат на тестирование исправлений на каждой БД.
Для каждой устраняемой уязвимости Oracle приходится разрабатывать заплатку на каждую поддерживаемую версию своей базы данных для каждой аппаратной платформы и операционной системы. В результате для устранения одной уязвимости выпускается около ста отдельных патчей.