hát ezek közül azért lehet már csemegézni és http sem kell a legtöbbhöz:
Oracle Multiple Unspecified Vulnerabilities Oracle Database Default Library Directory Privilege Escalation Vulnerability Oracle Database 10g Installer Insecure Temporary File Creation Vulnerability Oracle E-Business Suite Multiple Unspecified SQL Injection Vulnerabilities Oracle Single Sign-On Login Page Authentication Credential Disclosure Vulnerability Oracle Application Server Web Cache HTTP Request Method Heap Overrun Vulnerability Oracle9i Database Server Unspecified Security Vulnerabilities Oracle 9i Application/Database Server SOAP XML DTD Denial Of Service Vulnerability Oracle9i Lite Multiple Unspecified Vulnerabilities Multiple Oracle Database Parameter/Statement Buffer Overflow Vulnerabilities OracleAS TopLink Mapping Workbench Weak Encryption Algorithm Vulnerability Oracle HTTP Server isqlplus Cross-Site Scripting Vulnerability Oracle9iAS Portal Component SQL Injection Vulnerability Oracle Files Restricted Content Access Vulnerability Oracle Database Server OracleO Binary Local Buffer Overflow Vulnerability Oracle Database Server Oracle Binary Local Buffer Overflow Vulnerability Multiple Oracle XDB FTP / HTTP Services Buffer Overflow Vulnerabilities Oracle Database Server EXTPROC Buffer Overflow Vulnerability Oracle AOL/J Setup Test Suite Information Disclosure Vulnerability Oracle Applications FNDWRR CGI Remote Buffer Overflow Vulnerability Oracle Net Services Link Buffer Overflow Vulnerability Oracle E-Business Suite RRA/FNDFS Arbitrary File Disclosure Vulnerability Oracle JDBC Daylight Savings Time Timestamp Weakness Oracle 9i Application Server DAV_PUBLIC Format String Vulnerability Oracle Database Server TO_TIMESTAMP_TZ Buffer Overflow Vulnerability Oracle Database Server TZ_OFFSET Buffer Overflow Vulnerability Oracle Database Server ORACLE.EXE Buffer Overflow Vulnerability Oracle Database Server DIRECTORY Buffer Overflow Vulnerability Oracle 9i Application Server mod_oradav Module Format String Vulnerability
forrás: securityfocus
Szerintem nem kell szépíteni a dolgot, nem rossz rendszer az oracle, de ugyanúgy hemzseg a lyukaktól, mint bármelyik másik. De, ha tényleg csak nüansznyi problémákat javítanának (és nem komoly biztonsági lyukakat) akkor a fenti cikk meg sem született volna, mert azokat a patcheket mindenki akkor rakná fel amikor éppen szüksége van, szemben a biztonsági patchekkel, amiknek tényleg jót tesz, ha ütemezve vannak, akkor lehet a legjobban ráállítani a kollégákat, hogy minden hónap x. napjától tesztelik y. napig, majd z naptól bevezetik, igy biztos nem marad ki egy fontos sem.
Az Oracle elsõsorban adatbáziskezelõ rendszert gyárt - sok egyéb mellett is. A leírt hibák mind http, azaz webes felületû támadások célpontjai lehetnek. A leírt háromból kettõ ráadásul nem is Oracle terméken keresztülvihetõ bug, hanem az apache által a nekik írt, módosított apache webszerver hibája...
A supportot sem megerõsíteni, sem megcáfolni nem tudom, ugyanis sosem vettem igénybe.
Igazán nem akarok ellenkezni, de ez csak részben igaz. Tényleg vannak egyszerû, nehezen kihasználható hibák is, de nem csak azok, hanem akár elég durva backdoorok is. Persze javítják õket, mint minden valamirevaló cég.
Az Oracle esetén nem biztonsági kérdésrõl van szó, a frissítések náluk nem ilyen-olyan lyukak foltozására készülnek, hanem apróbb, csak nagyon speciális feltételek együttállása esetén elõforduló hibákra, amelyek a legtöbb esetben nem befolyásolják döntõen egy Oracle szerver mûködését, ill. a fejlesztõk is el tudják kerülni ezeket a helyzeteket. Az Oracle support az egyik legjobb a világon, az általuk mûködtetett webes felületû support minden regisztrált felhasználónak a rendelkezésére áll és a feltett kérdésekre általában pár órán belül érkezik válasz, konkrét javaslatokkal és útmutatókkal.
Hová lett az unbreakable Oracle szlogen? Mégis csak az számít, hogy hány ember akarja felnyomni az adott szoftvert? Úgy látszik mégis fordítottan arányos az elterjedtség és a biztonság...
"a felhasználók érdeke mindennél fontosabb számunkra"
Mellesleg a szart nem kellene utánozni...ms módra LOL
Informatika és tudomány
