Wiadomości

Oracle zaniża wagę luk w swoich aplikacjach?

28 kwietnia 2011 16:07,

.. » Bezpieczeństwo » Bezpieczeństwo komputera osobistego » Błędy aplikacji » Dziury w programach

TAGI: oracle, luki, cvss

Specjaliści z firmy AppSec twierdzą, że koncern Oracle modyfikuje alerty, zawierające opisy błędów w jego produktach - tak, by luki wydawały się mniej groźne, niż są w rzeczywistości. Modyfikacje polegają na zaniżaniu oceny danego problemu w skali CVSS (Common Vulnerability Scoring System).

Polecamy:

Zobacz także:

"Oracle lubi nieco zaniżyć ocenę własnych błędów - efekt jest taki, że ich klienci nie zawsze są w stanie ocenić, które luki należy załatać w pierwszej kolejności i narażają się tym samym na niebezpieczeństwo" - tłumaczy Alex Rothacker, dyrektor działu badań AppSec.

Koncern Oracle udostępnia swoje aktualizacje raz na kwartał - firma co trzy miesiące publikuje pakiet łat, usuwających luki z oprogramowania. Każda z nich opisana jest w tzw. alercie bezpieczeństwa, zawierającym m.in. ocenę problemu w skali Common Vulnerability Scoring System.

Modyfikowanie CVSS

Przedstawiciele AppSec twierdzą, że Oracle modyfikuje alerty tak, by luki wydawały się mniej poważne - głównie poprzez podawanie oceny w nieco zmodyfikowanej wersji skali CVSS (koncern wprowadził do skali swoją własną ocenę - Partial+).

Standardowo, w CVSS oceny zawierają się w przedziale od 1 do 10 (to uśredniona wartość, wyliczona na podstawie kilku czynników). Jeden z nich określa, czy złośliwe oprogramowanie wykorzystujące lukę w produkcie Oracle (tzw. exploit) jest w stanie zagrozić wyłącznie dziurawej aplikacji, czy może również środowisku, w którym jest ona zainstalowana. W pierwszym przypadku zagrożenie oceniane jest jako "Partial" (częściowe), w drugim - "Complete" (całkowite).

Complete czy Partial+?

Problem polega na tym, że Oracle - choć oficjalnie deklaruje korzystanie z branżowego standardu CVSS - praktycznie nie używa drugiej noty (co wpływa na ostateczną ocenę zagrożenia). Luki określane w CVSS jako "Complete" Oracle zwykł nazywać "Partial+" - nawet jeśli charakterystyka danego problemu wyraźnie wskazuje, że najbardziej stosowne byłby status "Complete".

Oracle nie skomentował na razie tych doniesień - choć warto podkreślić, że w przeszłości przedstawiciele firmy sugerowali, że w pewnych przypadkach stosowanie takiego nazewnictwa może nieco zaniżać wagę problemu.

Zaklinanie rzeczywistości?

Sprawa jest o tyle poważna, że dla wielu firm ocena w skali CVSS jest podstawowym wyznacznikiem zagrożenia ze strony danej luki i wskazówką co do tego, które aktualizacje należy zainstalować w pierwszej kolejności. W środowisku korporacyjnym wdrażanie aktualizacji jest skomplikowanym procesem, więc jego odpowiednie zaplanowanie jest niezmiernie ważne. A praktyki stosowane przez Oracle mogą całą operację utrudnić - bo zafałszowują rzeczywisty status luk.

"Firmom bardzo trudno jest na bieżąco aktualizować wszystkie systemy - dlatego niezmiernie ważne jest odpowiednie priorytetyzowanie tych działań i usuwanie w pierwszej kolejności najbardziej niebezpiecznych luk" - tłumaczy Rothacker.

Jako przykład praktyk Oracle'a przedstawiciele App Sec wymieniają dwie luki załatane niedawno w bazie danych firmy. Ich analiza wykazała, że są one praktycznie identyczne (różnią się jednym bajtem, występują w tym samym komponencie, mają takie samo działanie), a mimo to jedna z nich została oceniona na pięć punktów skali CVSS, zaś druga - na 7,8. Różnica wynika tylko z tego, że w jednym przypadku luka uzyskała status "Complete", zaś w drugim - "Partial+".

Podziel się |

Ocena:

Twoja ocena:

+ dodaj komentarz

Komentarze (0)

Popularne Nowości

Reklama

Huawei celuje w rynek biznesowy

Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.

Oracle zaniża wagę luk w swoich aplikacjach?

Komentarze (0)

Reklama

Huawei celuje w rynek biznesowy

Polecane

Opinie

Koniec Windows XP początkiem problemów?

Spokój i luz administratora