Gartner: Oracle is geen security bolwerk meer
Onderzoeksbureau Gartner waarschuwt systeembeheerders dat ze "agressiever" moeten zijn in het beschermen en beveiligen van hun Oracle applicaties, omdat ze niet genoeg hulp van de databasegigant krijgen.
De waarschuwing van Gartner komt een aantal dagen na de driemaandelijkse patchcyclus van Oracle, waarin 37 lekken werden gedicht. Sommige lekken werden door Oracle als zeer ernstig omschreven, wat betekent dat ze makkelijk te misbruiken zijn en een aanval grote gevolgen kan hebben.
"De omvang en ernst van de gepatchte lekken in deze update baart ons ernstig zorgen. Oracle heeft nog niet met een grootschalige security exploit te maken gehad, maar dat wil niet zeggen dat dit nooit zal gebeuren" aldus analist Rich Mogull.
De databasegigant heeft traditioneel een sterk security imago, en veel van Oracle's produkten bevinden zich "diep in de onderneming", waardoor systeembeheerders vaak nalatig zijn als het aankomt op het patchen. Gartner geeft daarom een aantal tips waar systeembeheerders zich aan moeten houden.
database. Waar heeft het dus geen last van? Van het
achterlijke Windows klikvee. Waar wordt Oracle gebruikt?
Juist, bij voornamelijk corporate omgevingen. Wat hebben die
omgevingen? Juist, beveiliging in de ruimste zins des
woordes. In 99% van de gevallen heeft een Oracle database
geen direct contact met de buitenwereld. Er wordt vrijwel
altijd via connectors, listeners en front-ends gewerkt en
die worden niet zo snel 'malicious' als een Windows machine
die op een greetincard4you.jpg.scr klikt.
Dus wat heeft dit Gartner rapport te vertellen? Juist. Hete
lucht, brought to you by Microsoft SQL server.
software-bakkers uit redmond niet eens uit voorkomen toch
weer MS bash te plaatsen...
Overigens heb ik een demo gezien van een hack waarbij een
recente oracle server in 3 minuten geowned werd, door het
GE-ENCRYPTE verkeer tussen een client en een server te sniffen.
Diffie-Hellman is door oracle niet goed geimplementeerd, en
door een wildgroei van (root-)accounts is bruteforce
password hacking ook geen probleem...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.