صفحه اول > اخبار و هشدارها

 

 

اوراکل و رفع بیش از 30 مشکل امنیتی

 

3 آگوست 2004 – 13 مرداد 1383

شرکت اوراکل - سازنده نرم افزار پایگاه داده مشهور اوراکل – امروز قول داد که هرچه سریعتر اصلاحیه هایی را برای پوشش بیش از 30 حفره امنیتی شناخته شده توسط یک محقق امنیتی انگلیسی عرضه کند.

البته هنوز جزئیات این مشکلات گفته نشده است اما دیوید لیچفیلد - محقق انگلیسی – هفته گذشته در لاس وگاس در  Black Hat Security Briefings اطلاعاتی کلی و عمومی را در این باره ارائه کرد.

اوراکل طی بیانیه ای که اخیرا درباره این موضوع صادر شده ، گفته است:“ امنیت برای ما موضوع مهمی است. ما سعی داریم تا امنیت را در اصل و ذات محصولات خود بهتر و بهتر کنیم. اوراکل این مشکلات را مرتفع کرده و به زودی هشدار امنیتی مربوطه صادر خواهد شد.“

لیچفیلد که مدیریت شرکتNext-Generation Security Software   را به عهده دارد، قصد داشت اطلاعات مربوط به این مشکلات را هفته گذشته منتشر کند اما به دلیل ارائه نشدن اصلاحیه ها از این کار منصرف شد. لیچفیلد در ماه ژانویه اوراکل را از وجود این شکافها که بعضا خطرناک هستند، مطلع کرده است.

حفره های امنیتی کشف شده توسط لیچفیلد تنها مشکلاتی نیستند که امسال اوراکل با آنها برخورد داشته است. در ماه ژوئن نیز این شرکت اصلاحیه ای را برای پوشاندن یک مشکل امنیتی مهم در Oracle 11i E-Business Suite ارائه کرد.

لیچفیلد از صحبت درباره جزئیات این حفره ها امتناع کرده اما طیف آنها را گسترده معرفی کرده است. وی اشاره کرده که در این مجموعه از سرریز بافر و heap تا حفاظت ضعیف از کلمات عبور وجود دارد. وی افزوده است که در بعضی موارد کاربران بدون وارد کردن نام کاربری و کلمه عبور می توانند به سیستم دسترسی پیدا کنند و در بعضی موارد دیگر می توانند حق دسترسی محدود خود را تغییر داده و خود را به سطح مدیر پایگاه داده ارتقا دهند.

لیچفیلد می گوید که وی کار بر روی مشکلات امنیتی اوراکل را دو سال پیش آغاز کرده است. در آن زمان اوراکل تبلیغات زیادی بر روی قدرت امنیتی نرم افزار خود به راه انداخته بود. لیچفیلد مدعی است که در آن زمان و تنها ظرف مدت 24 ساعت وی به کمک همکارانش توانسته بود نزدیک به 50 مشکل امنیتی را در این نرم افزار بیابد.

لیچفیلد معتقد است هر فردی با بررسی لیست های ارائه شده از اصلاحیه های امنیتی اوراکل می تواند به قابل نفوذ بودن محصولات این شرکت پی ببرد اما تاکید می کند که اوراکل نیز همانند مایکروسافت و IBM سعی دارد تا به مشکلات امنیتی کشف شده اهمیت بدهد و از این نظر دیگر قابل سرزنش نیست. گفته می شود ممکن است اوراکل نیز بخواهد روشی همانند مایکروسافت را در برخورد با مشکلات امنیتی در پی بگیرد.