去年 11 月的 Comdex 上,Oracle CEO Larry Ellison 提出了這個口號,目前,Oracle 四處出擊,甚至在 Google 上輸入 "unbreakable" 就會彈出 Oracle 的這個廣告。
然而事實果真如此麼?
去年12 月份,英國的安全專家 David Litchfield 發現了 9iAS 中存在的程序錯誤導致的緩沖溢出漏洞。後來,PenTest Limited 和 eEye Digital Security 各自提出了一個小的漏洞,目前這三個漏洞的補丁已經可以從 Oralce 的網站下載,但是對於公司所宣傳的 "unbreakable" 的神話卻很難打補丁。
然而,更糟糕的還在後面,這些漏洞只不過是一個前奏,接下來還有至少 7 個不同的漏洞等著打補丁,所有這些都由 Litchfield 在去年秋天發現。如果補丁能及時出來的話,Litchfield 計劃在二月份的安全會議上公布這些漏洞,同時提供可以讓攻擊者 "break it" 和 "break in." 的細節。
Oracle 的這些漏洞和其他主要的軟件產品比較起來並不是十分嚴重,在數量上也不大。但是所謂 "unbreakable" 的大話卻把市場行為轉變成危險的謊言。
很多人在那裡說他們擁有“堅不可摧”的產品,從而形成安全上的錯覺。
AnchorIS.Com 的 CIO ,Tim Mullen 認為,“我們大家都知道它是 breakable 的,唯一不知道的人就是 Ellison 了”。
Oracle 首席安全官 Mary Ann Davidson 認為媒體的批評是不公平的,辯解道,所有的事情都要根據對"unbreakable"的定義而言。因為,這個所謂的"unbreakable" 是針對 Oracle 的數據庫服務器通過的 14 項獨立安全評估而言的.
Litchfield 在開發 NGSSoftware 的 Oracle 安全掃描程序時,發現了這些漏洞,並在12 月提供了其中一個漏洞的解決辦法。他希望 Oracle 在他今年2月7日出席新奧爾良 Black Hat 的 Windows 安全會議之前能發布補丁。
他說,他還不知道是否已經有黑客在利用這個漏洞了,但是其中一個嚴重的漏洞從 1999 年開始發行的 Oracle 8 開始就一直存在。如果這些信息公開的話,人們會說:”哦!上帝,這些漏洞這麼明顯,為什麼會沒有想到“。
雖然,Litchfield 對 Davidson 的解釋尚感滿意,但是 Schneier 和其他的安全專家認為,這些安全問題太嚴重了,市場宣傳和實際嚴重脫節,英語中的 'unbreakable' 是有含義的,但是用在軟件上面,他們就是在撒謊!
摘自:FreeLAMP.com
