Oracle rilascia 52 patch

L'ultimo aggiornamento di sicurezza di Oracle corregge oltre una cinquantina di vulnerabilità, quasi la metà delle quali sfruttabili da remoto senza autenticazione

Roma - Nel suo ultimo bollettino di sicurezza trimestrale, la cui pubblicazione avverrà nel corso della giornata, Oracle ha corretto 52 vulnerabilità contenute all'interno dei propri software, tra cui database, application server, suite per l'e-business ed altro ancora. Almeno 24 bug sono potenzialmente sfruttabili da remoto senza la necessità di autenticazione.

Il maggior numero di patch, per la precisione 27, interessano i database del colosso, mentre le restanti riguardano, in ordine di quantità, le famiglie di prodotti Application Server, E-Business Suite and Applications, Oracle Enterprise Manager, PeopleSoft Enterprise e JD Edwards EnterpriseOne.

In un comunicato, Symantec afferma che alcuni dei problemi risolti da Oracle sono di gravità "critica", e per questo motivo suggerisce ai propri clienti di "testare e installare immediatamente le patch".
Questa è la prima volta che, similmente a quanto fa da tempo Microsoft, Oracle ha pubblicato con alcuni giorni di anticipo un pre-bollettino contenente alcune anticipazioni sulle falle corrette oggi. Il colosso afferma che questa anteprima permette alle aziende, specie quelle più grandi, di prepararsi per tempo al deployment delle patch.

Non appena disponibile, il Critical Patch Updates di gennaio apparirà in questa pagina del sito di Oracle.
29 Commenti alla Notizia Oracle rilascia 52 patch
Ordina
  • Una software house del livello di Oracle, che ogni santo mese rilascia una media di una cinquantina di falle gravi per vulnerabilità sfruttabili da remoto mi lascia interdetto.
    Possibile che ogni mese saltino fuori tutte ste falle ?? vuol dire che adesso ho un server che rispetto al 28 febbraio 2007 ha almeno 50 falle critiche e che rispetto a marzo 2007 ne ha almeno 100 ???
    Ma stiamo giocando ????
    Un prodotto di fascia alta come i server di Oracle, su cui girano transazioni di decine di banche, database di decine di ospedali e gestione di centinaia di aziende anche importanti è in grado di garantire un livello di sicurezza così basso ????
    E poi con il pedigree ed il costo che hanno i prodotti Oracle.
    Ci lamentiamo, non dico ingiustamente, di Microsoft e dei suoi problemi di sicurezza anche gravi, ma da quando è stato lanciato SQL Server 2005 di sicuro cinquanta falle gravi al mese non sono mai state fixate, e neanche mi sembra che ce ne siano così tante da fixare.
    Mi sembra di essere abbastanza obbiettivo se dico che Oracle è decisamente un colabrodo.
    -----------------------------------------------------------
    Modificato dall' autore il 16 gennaio 2007 08.00
    -----------------------------------------------------------

  • - Scritto da: lalla63
    > Ci lamentiamo, non dico ingiustamente, di
    > Microsoft e dei suoi problemi di sicurezza anche
    > gravi, ma da quando è stato lanciato SQL Server
    > 2005 di sicuro cinquanta falle gravi al mese non
    > sono mai state fixate, e neanche mi sembra che ce
    > ne siano così tante da
    > fixare.

    Zero advisories ad un anno dal rilascio:
    http://secunia.com/product/6782/
    non+autenticato

  • Per ORACLE invece 35

    ciao
    http://secunia.com/search/?search=Oracle+10&w=1


    - Scritto da:
    >
    > - Scritto da: lalla63
    > > Ci lamentiamo, non dico ingiustamente, di
    > > Microsoft e dei suoi problemi di sicurezza anche
    > > gravi, ma da quando è stato lanciato SQL Server
    > > 2005 di sicuro cinquanta falle gravi al mese non
    > > sono mai state fixate, e neanche mi sembra che
    > ce
    > > ne siano così tante da
    > > fixare.
    >
    > Zero advisories ad un anno dal rilascio:
    > http://secunia.com/product/6782/
    non+autenticato
  • Quando i prodotti supportati sono:

        * Oracle Database 10g Release 2, versions 10.2.0.1, 10.2.0.2, 10.2.0.3
        * Oracle Database 10g Release 1, versions 10.1.0.3, 10.1.0.4, 10.1.0.5
        * Oracle9i Database Release 2, versions 9.2.0.5, 9.2.0.6, 9.2.0.7, 9.2.0.8
        * Oracle9i Database Release 1, versions 9.0.1.4, 9.0.1.5, 9.0.1.5 FIPS
        * Oracle8i Database Release 3, version 8.1.7.4
        * Oracle Identity Management 10g, version 10.1.4.0.1
        * Oracle Application Server 10g Release 3, versions 10.1.3.0.0, 10.1.3.1.0
        * Oracle Application Server 10g Release 2, versions 10.1.2.0.0 - 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
        * Oracle Application Server 10g, versions 9.0.4.1, 9.0.4.2, 9.0.4.3
        * Oracle9i Application Server Release 2, version 9.0.2.3
        * Oracle9i Application Server Release 1, version 1.0.2.2
        * Oracle Enterprise Manager 10g Grid Control Release 2, version 10.2.0.1
        * Oracle Enterprise Manager 10g Grid Control Release 1, versions 10.1.0.3, 10.1.0.4, 10.1.0.5
        * Oracle E-Business Suite Release 11i, versions 11.5.7 - 11.5.10 CU2
        * Oracle E-Business Suite Release 11.0
        * Oracle PeopleSoft Enterprise PeopleTools versions 8.22, 8.47, 8.48
        * Oracle Developer Suite, versions 6i, 9.0.4.3, 10.1.2.0.2

    e i componenti sono:

        * Advanced Queuing
        * Advanced Replication
        * Advanced Security Option
        * Change Data Capture
        * Data Guard
        * Export
        * Log Miner
        * NLS Runtime
        * Oracle HTTP Server
        * Oracle Net Services
        * Oracle Process Mgmt & Notification
        * Oracle Spatial
        * Oracle Streams
        * Oracle Text
        * Oracle Workflow Cartridge
        * Recovery Manager
        * XMLDB

        * Oracle Containers for J2EE
        * Oracle HTTP Server
        * Oracle Internet Directory
        * Oracle Process Mgmt & Notification
        * Oracle Reports Developer
        * Oracle Workflow Cartridge

        * Oracle Application Object Library
        * Oracle Exchange
        * Oracle Human Resources
        * Oracle iStore
        * Oracle Payables
        * Oracle Reports Developer
        * Oracle Trading Community Architecture
        * Oracle Web Applications Desktop Integrator

    si capisce il numero di patch.

    Per chi non se ne fosse accorto, Oracle è un *pochino* più "grosso" di SQL Server...

    non+autenticato

  • - Scritto da:

    > Per chi non se ne fosse accorto, Oracle è un
    > *pochino* più "grosso" di SQL
    > Server...

    Diciamo che hanno una serie di prodotti sotto un unico nome mentre Microsoft usa nomi diversi. Però se vai a vedere i fix cumulati penso che MS ne esca vincente. MS affonda invece sui client pre Vista e pre Office 2007.

    E poi diciamolo chiaramente: persino MS è più trasparente di Oracle sulla sicurezza. Deluso

    non+autenticato
  • > Però se vai a vedere i fix cumulati penso che MS
    > ne esca vincente.

    Può essere. Anche Oracle per troppo tempo ha ignorato un po' troppo la sicurezza. Come Windows pre-Vista l'installazione di default del database è un po' troppo "aperta" e un'opportuna limitazione dei grant lo rende più sicuro, ma come Windows si rischiano problemi di compatibilità con applicazioni esistenti mal scritte.

    Inoltre Oracle ha il problema di supportare 18 combinazioni CPU/sistema operativo, cosa che complica un po' di più il test.

    > E poi diciamolo chiaramente: persino MS è più
    > trasparente di Oracle sulla sicurezza.

    Anche Oracle sta cambiando, ma le informazioni richiedono l'accesso a Metalink che a sua volta richiede un contratto di supporto, o di essere Oracle Partner (anche questo a pagamento...)
    non+autenticato




  • > Per chi non se ne fosse accorto, Oracle è un
    > *pochino* più "grosso" di SQL
    > Server...

    Ma è anche un "tantino" più caro di SQL Server.
    Direi che la sua blasonata figura meriterebbe sviluppo e debugging più accurati.
    Inoltre più chiarezza e trasparenza nella documentazione sulla sicurezza non guasterebbe proprio (ma questo è un altro vecchio aspetto di Oracle, che al contrario di Microsoft è molto restia nelle documentazioni aperte a tutti perchè ritiene di dover favorire una ristretta schiera di clienti paganti).

    non+autenticato
  • > Ma è anche un "tantino" più caro di SQL

    Le versioni più "basse" no, quelle più "alte" sì.

    > Direi che la sua blasonata figura meriterebbe
    > sviluppo e debugging più
    > accurati.

    Sicuramente. C'è da dire che Oracle ha la complessità di un sistema operativo, ormai.

    Comunque delle *16* vulnerabilità del database (le altre sono per altri prodotti), 7 richiedono un utente con privilegi elevati, e non tutte hanno impatto sull'ultima versione del database.

    Delle 16 patch 14 fanno riferimento a versioni precedenti l'ultima, anche se essendo stata appena rilasciata la 10.2.0.3 le informazioni riguardanti quest'ultima non sono ancora complete.

    Comunque rifaccio notare che alcune patch si riferiscono a versioni ben precedenti l'ultima, addirittura la 8i Release 3 e la 9i Release 1. Non mi risulta che MS supporti ancora SQL Server 6.5 o 7, e vorrei vedere quanto supportano 2000.
    non+autenticato
  • Attacca una banca con 4 istanze da 300GB e 1500 utenti a un db PostGre.

    Dopo ne riparliamo.
    non+autenticato
  • se usi le stesse macchine che usi per oracle non cambia molto...
    non+autenticato
  • ve le raccontate nelle cantine dei lug queste cose oppure le provate "veramente" ?


    - Scritto da:
    > se usi le stesse macchine che usi per oracle non
    > cambia
    > molto...
    non+autenticato

  • - Scritto da:
    > ve le raccontate nelle cantine dei lug queste
    > cose oppure le provate "veramente"
    > ?
    >
    >
    > - Scritto da:
    > > se usi le stesse macchine che usi per oracle non
    > > cambia
    > > molto...
    Forse non sai che dietro a PostgreSQL c'è Sun.
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    > > ve le raccontate nelle cantine dei lug queste
    > > cose oppure le provate "veramente"
    > > ?
    > >
    > >
    > > - Scritto da:
    > > > se usi le stesse macchine che usi per oracle
    > non
    > > > cambia
    > > > molto...
    > Forse non sai che dietro a PostgreSQL c'è Sun.

    No, non lo so.
    non+autenticato
  • Prima dovrebbero trovarsi un lavoro...

    - Scritto da:
    > ve le raccontate nelle cantine dei lug queste
    > cose oppure le provate "veramente"
    > ?
    >
    >
    > - Scritto da:
    > > se usi le stesse macchine che usi per oracle non
    > > cambia
    > > molto...
    non+autenticato
  • ..invece tu l'hai attaccato...e non funzionava vero!?
    non+autenticato
  • Voglio proprio vedere quanti passeranno sta sfilza di patch sui sistemi in produzione...

    52 correzioni in una botta! Ci vorranno progetti di mesi per verificarne le funzionalità sull'installato.

    Ma alla Oracle come ragionano??
    non+autenticato
  • Sei tu che non ragioni.

    Comincia a vedere a cosa si riferiscono queste patch, magari a moduli che nemmeno hai installato in produzione e che mai installerai.

    Documentarsi prima no eh?
    non+autenticato
  • Beh, se è per quello 50 sono anche poche, in genere sono intorno al centinaio, vedi vecchie news di PI.

    - Scritto da:
    > Voglio proprio vedere quanti passeranno sta
    > sfilza di patch sui sistemi in
    > produzione...
    >
    > 52 correzioni in una botta! Ci vorranno progetti
    > di mesi per verificarne le funzionalità
    > sull'installato.
    >
    > Ma alla Oracle come ragionano??
    non+autenticato
  • Per chi sosteneva che Oracle era ipersicuro in un articolo tempo fa che comparava la sicurezza di MSSQL e Oracle immagino che questa sia una bella figura!
    non+autenticato

  • - Scritto da:
    > Per chi sosteneva che Oracle era ipersicuro in un
    > articolo tempo fa che comparava la sicurezza di
    > MSSQL e Oracle immagino che questa sia una bella
    > figura!

    Almeno Oracle le rilascia, le patch. Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato

  • - Scritto da:
    > Per chi sosteneva che Oracle era ipersicuro in un
    > articolo tempo fa che comparava la sicurezza di
    > MSSQL e Oracle immagino che questa sia una bella
    > figura!

    Si' certo perche' MSSQL e' un rivale di Oracle, adesso... ma ROTFL... hai minimamente idea dell'ABISSO che c'e' tra i due DB per prestazioni, capacita (e costi)?

    MSSQL puo' essere al massimo un rivale di MySQL.
    non+autenticato

  • - Scritto da:

    > MSSQL puo' essere al massimo un rivale di MySQL.

    Beh non esageriamo su...
    In ongi caso recentemente MSSQL è migliorato parecchio con la versione 2005, lo stesso non si può dire per la versione 10 di Oracolo.
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    >
    > > MSSQL puo' essere al massimo un rivale di MySQL.
    >
    > Beh non esageriamo su...

    hai ragione.... SQLite
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    > > Per chi sosteneva che Oracle era ipersicuro in
    > un
    > > articolo tempo fa che comparava la sicurezza di
    > > MSSQL e Oracle immagino che questa sia una bella
    > > figura!
    >
    > Si' certo perche' MSSQL e' un rivale di Oracle,
    > adesso... ma ROTFL... hai minimamente idea
    > dell'ABISSO che c'e' tra i due DB per
    > prestazioni, capacita (e
    > costi)?

    Hai almeno un minimo di infarinatura sulle tecnologie rdbms e conosci almeno il 5% dei due prodotti oppure parli per sentito dire?
    non+autenticato
  • Oracle viene sempre usato al 5-10% delle reali potenzialità per cui MSSQL andrebbe pure bene. Ma quando inizi a sfruttarlo a dovere mi spiace ma ci sono funzioni molto più potenti di MSSQL specie su cluster in load balancing.
    MSSQL gira su Windows e si porta dietro tutti i limiti di questo sistema operativo e delle architetture su cui può girare.

    non+autenticato

  • - Scritto da:
    > Oracle viene sempre usato al 5-10% delle reali
    > potenzialità per cui MSSQL andrebbe pure bene. Ma
    > quando inizi a sfruttarlo a dovere mi spiace ma
    > ci sono funzioni molto più potenti di MSSQL
    > specie su cluster in load
    > balancing.

    Cioè?

    > MSSQL gira su Windows e si porta dietro tutti i
    > limiti di questo sistema operativo e delle
    > architetture su cui può
    > girare.

    Quali sarebbero questi limiti?

    non+autenticato
  • > Cioè?

    Dai un'occhiata a Real Application Cluster.

    > Quali sarebbero questi limiti?

    Memoria e CPU. Oracle gira su hardware che Windows per ora può semplicemente sognare.

    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    > >
    > > - Scritto da:
    > > > Per chi sosteneva che Oracle era ipersicuro in
    > > un
    > > > articolo tempo fa che comparava la sicurezza
    > di
    > > > MSSQL e Oracle immagino che questa sia una
    > bella
    > > > figura!
    > >
    > > Si' certo perche' MSSQL e' un rivale di Oracle,
    > > adesso... ma ROTFL... hai minimamente idea
    > > dell'ABISSO che c'e' tra i due DB per
    > > prestazioni, capacita (e
    > > costi)?
    >
    > Hai almeno un minimo di infarinatura sulle
    > tecnologie rdbms e conosci almeno il 5% dei due
    > prodotti oppure parli per sentito
    > dire?

    Li ho usati entrambi.
    non+autenticato