去年 11 月的 Comdex 上,Oracle CEO Larry Ellison 提出了这个口号,目前,Oracle 四处出击,甚至在 Google 上输入 "unbreakable" 就会弹出 Oracle 的这个广告。
然而事实果真如此么?
去年12 月份,英国的安全专家 David Litchfield 发现了 9iAS 中存在的程序错误导致的缓冲溢出漏洞。后来,PenTest Limited 和 eEye Digital Security 各自提出了一个小的漏洞,目前这三个漏洞的补丁已经可以从 Oralce 的网站下载,但是对于公司所宣传的 "unbreakable" 的神话却很难打补丁。
然而,更糟糕的还在后面,这些漏洞只不过是一个前奏,接下来还有至少 7 个不同的漏洞等着打补丁,所有这些都由 Litchfield 在去年秋天发现。如果补丁能及时出来的话,Litchfield 计划在二月份的安全会议上公布这些漏洞,同时提供可以让攻击者 "break it" 和 "break in." 的细节。
Oracle 的这些漏洞和其他主要的软件产品比较起来并不是十分严重,在数量上也不大。但是所谓 "unbreakable" 的大话却把市场行为转变成危险的谎言。
很多人在那里说他们拥有“坚不可摧”的产品,从而形成安全上的错觉。
AnchorIS.Com 的 CIO ,Tim Mullen 认为,“我们大家都知道它是 breakable 的,唯一不知道的人就是 Ellison 了”。
Oracle 首席安全官 Mary Ann Davidson 认为媒体的批评是不公平的,辩解道,所有的事情都要根据对"unbreakable"的定义而言。因为,这个所谓的"unbreakable" 是针对 Oracle 的数据库服务器通过的 14 项独立安全评估而言的.
Litchfield 在开发 NGSSoftware 的 Oracle 安全扫描程序时,发现了这些漏洞,并在12 月提供了其中一个漏洞的解决办法。他希望 Oracle 在他今年2月7日出席新奥尔良 Black Hat 的 Windows 安全会议之前能发布补丁。
他说,他还不知道是否已经有黑客在利用这个漏洞了,但是其中一个严重的漏洞从 1999 年开始发行的 Oracle 8 开始就一直存在。如果这些信息公开的话,人们会说:”哦!上帝,这些漏洞这么明显,为什么会没有想到“。
虽然,Litchfield 对 Davidson 的解释尚感满意,但是 Schneier 和其他的安全专家认为,这些安全问题太严重了,市场宣传和实际严重脱节,英语中的 'unbreakable' 是有含义的,但是用在软件上面,他们就是在撒谎!
摘自:FreeLAMP.com