NBA

Oracle9i的安全性问题_a

2020-01-16 11:52:53来源:励志吧0次阅读

本周五在新奥尔良的Black Hat Windows安全报告会上,一位安全研究员将详述在Oracle的旗舰数据库当中存在的一些软件方面的缺陷,这一举动将打破公司对于程序是"牢不可破的"的承诺。

英国的一个安全研究员David Litchfield在12月发现了上述安全问题,这些问题中包括一个可以使黑客操纵与数据库程序一起载入的公共服务器的严重软件错误。

David Litchfield在声明中说,这个问题对于那些依赖于Oracle数据库产品的公司来说是一个严重的问题,如果公司不采取措施对自己加以保护的话,他们就即将面临诸如盗窃和篡改数据等的攻击行为。 这个问题突出了Oracle自称其产品是绝对安全的而带来的危险,Neohapsis的安全顾问服务主管Greg Shipley说,这是一个行销过程中传统的错误做法,他使我们的产品成为众矢之的。

通常,公司采取一种"群羊"心态,尽量保持低调并且希望不要被在网络上游荡的黑客所盯上,向黑客发起挑战的公司通常会惹上麻烦,Shipley说,没有一个销售商未曾遇到过黑客的攻击,他们都曾有过类似经历。

然而,Oracle的首席安全官员Mary Ann Davidson做出了一个任何公司都不曾做出的承诺-设计出一种"牢不可破"的软件。我们在做很多事情,她说,我宁愿站出来表示我们将会努力使任何一个产品达到"牢不可破",也不会说,你们说对了,这是不可能的事情,然后就放弃一切努力。

随着宣称"Oracle9i是不可能损坏并被侵入的","只有Oracle9i是牢不可破的",公司的市场行销活动于去年11月在拉斯维加斯举办的Comdex展览上正式开始。这也就给数据库编制程序员设置了一个很高的标准,同时Oracle公司在要求最低程度的安全标准的国际性软件认证方面的花费已经超过了一百万美元。

即使是这样,一些安全问题方面的专家仍然批评说公司的行销活动是如此的一个错误。

一个网络安全保护公司的研发主管Chris Wysopal说,依靠目前的科技水平,做到彻底的"牢不可破"是一件不可能的事情,任何软件都会有漏洞。他在给与Oracle公司在认真考虑安全问题方面以很高赞誉的同时说,让我们着眼于需要采取什么行动,不要在乎那些行销的宣传口号。

Oracle公司的Davidson承认公司会由于他在行销方面做出的承诺而受到攻击,但她最后又说到,这不是一个使软件没有缺陷的问题,而是公司对于消除这些软件缺陷的承诺。

每个公司都应该做出使其产品"牢不可破"的承诺,Davidson说,同时她强调到,公司应该把安全性问题放在第一位。那些把安全问题放在次要位置的公司在业界是难以生存的。 微软公司总裁Bill Gates在一个备忘录中告诫公司的员工们要赋予安全性问题以最高的优先权,两周之后,Oracle公司在行销信息方面发生了变故。

像微软公司一样,Oracle公司也存在安全漏洞问题。去年7月,安全性研究员在公司的8i数据库中发现一个软件故障,这个故障会导致一些恶意的攻击者侵入他们的服务器。

作为下一代的安全软件问题的顾问,Litchfield在对公司最新的数据库软件进行一个脆弱性评定扫描器的测试时发现了目前存在的软件缺陷。

软件故障出现在Oracle的数据库和Apache Web软件中的Java-server模块当中,Oracle公司分别在不同时间发布了针对不同软件缺陷问题的补丁程序。 Oracle公司的Davidson说,行销活动是来去变化不断的,但我们将长期致力于安全性问题。

责任编辑:炒饭(Email:zhang_yan@zdnet.com.cn)

原发性痛经怎么缓解
剖宫产术后怎么防止腹胀便秘
脉络舒通丸功效
老君炉藤黄健骨丸治骨质疏松吗
分享到: