Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 98 reacties
Bron: VNUnet

Veiligheidsonderzoeker David Litchfield heeft een rapport geschreven waarin hij SQL Server en Oracle-databases naast elkaar zet. Uit zijn bevindingen zou blijken dat Microsoft Oracle met twee vingers in de neus de baas is op veiligheidsgebied.

In SQL Server 7, 2000 en 2005 werden in de afgelopen zes jaar volgens hem namelijk 59 lekken gedicht, terwijl Oracle 233 patches nodig had om zijn Oracle 8, 9 en 10g af te sluiten voor indringers. In zijn onderzoek wijst hij er bovendien op dat Microsoft sinds halverwege 2003 geen zogenaamd 'security bulletin' meer moest verspreiden voor zijn SQL Server-software, terwijl Oracle de afgelopen jaren het aantal patches alleen maar zag toenemen. Litchfield zette Microsoft SQL Server 2000 dan ook bovenaan de veiligheidsladder, naast het opensourceproject PostgreSQL. Oracle 10g bungelt helemaal onderaan het ranglijstje. In een interview met VNUnet zei Litchfield ambitieus dat het hem slechts vijf minuten zou kosten een nieuw veiligheidslek in Oracles software te vinden, terwijl hem dat met SQL Server 2005 niet zou lukken. Naar eigen zeggen heeft de onderzoeker al 49 bugs gerapporteerd aan Oracle, maar moeten deze allemaal nog opgelost worden.

Database server logo's (MySQL, SQL Server, DB2, Sybase & Oracle)

Eerder deze maand had het analistenbureau Enterprise Strategy Group zijn rapport 'Microsoft SQL Server runs the security table' gepubliceerd, waarin het ongeveer tot dezelfde bevindingen kwam. Dit verslag stuitte echter op heel wat kritiek en dus besloot Litchfield zijn eigen bevindingen op papier te zetten om de conclusie van de ESG te bevestigen. Ook zijn rapport is echter niet onomstreden. Zo stelt Alexander Kornbrust van Red Database Security dat de vergelijking oneerlijk is omdat Oracle veel meer features heeft die hackers aantrekken, waardoor het pakket ook meer potentiële doelwitten heeft. Litchfield is dan weer van mening dat dit zijn stelling bevestigt dat Oracle onveiliger is, en adviseert Oracle dan ook om bijvoorbeeld niet alle componenten standaard te installeren.

Moderatie-faq Wijzig weergave

Reacties (98)

[[quote]
In een interview met VNUnet zei Litchfield ambitieus dat het hem slechts vijf minuten zou kosten een nieuw veiligheidslek in Oracles software te vinden, terwjil hem dat met SQL Server 2005 niet zou lukken. Naar eigen zeggen heeft de onderzoeker al 49 bugs gerapporteerd aan Oracle, maar moeten deze allemaal nog opgelost worden.
[/quote]

Hierom kijk ik met gemengde gevoelens naar dit onderzoek. Zoals iedereen in de softwarewereld zou moeten weten zijn er altijd fouten te vinden die via-via een gevaar op kunnen leveren.

Dit stukje gequote geeft mij een oracle-bashing-smaak bij de tekst. Omdat hij zelf al 50 bugs heeft opgestuurd, deze nog niet opgelost zijn, heeft hij Oracle negatief vergeleken t.o.v. de rest. Hij is niet volledig "neutraal" zeg maar.

Maar goed, dat is mijn kanttekening bij deze tekst.
Inderdaad is hello world heel wat veiliger dan een full-feature database waar java /http enzo is in geďntegreerd.

Verder is het onderzoek ook niet zo heel zinvol . Gewoon cijfvertjes vergelijk is niet zo heel bruikbaar. Veel patches van oracle zullen in MS ogen alles behalve critical zijn omdat je een database gewoon niet behoort te hosten op een publieke plek, en dus nooit remote uitbuitbaar zou moten zijn.

En jammer genoeg fucntioneerd op dit moment de site van de onderzoeker niet goed? Gehackt? ;)
hier
Ook SQL Server 2005 bied .NET en http/xml/soap mogelijkheden. Dus java/http is geen excuus.
Sterker nog: doordat je java+http in de database toestaat (SCHANDE!) moet je juist veel meer in de beveiliging steken.
Met SQL kun je hooguit een table droppen. Met java is alles mogelijk ( Runtime.getRuntime().exec( "c:\\windows\\system32\\format c:\\" ) )
Je kan ook DLLetjes in SQL server aanroepen.

En java is ook gemakkelijk te sandboxen wat in Oracle overigens ook gebeurd. Dus de statement die jij daar doet, die kan niet eens.
Eh in Sqlserver heb XP_CMDSHELL waarbij je bijvoorbeeld NT users kan aanmaken :) of een ftp sessie kan opstarten. Ok dit commando draait alleen op de Master database, maar je moest eens weten hoeveel websites onder Systeem account draaien.
@raptorix: En die sp is in SQL 2005 disabled by default; gaat dus niet 100% op. In SQL 2000 stond ie inderdaad standaard wel aan.

PS: Mijn ervaringen met SQL 2005 zijn ook erg positief, al denk ik dat juist de integratie met .Net toch nog wel voor een aantal security-updates zal zorgen hoor :Y)
SQL Server is ook een full feature DB hoor voor zover je dat nog niet wist....

(In 2005 is de CLR trouwens ook geintegreerd in de DB)
Het grootste beveiligingsrisico zit waarschijnlijk tussen de stoel en het toetsenbord.
Zouden Oracle dba's of SQL Server dba's veiliger zijn?
Wat ik dan juist weer interessant vind is het feit dat PostgreSQL erg goed uit de bus komt. Ondanks dat MySQL veel gebruikt wordt voor websites enz schijnt qua schaalbaarheid, algemene snelheid en dus ook veiligheid PostgreSQL gewoon beter te zijn. Wat is dan de reden dat MySQL zo veel populairder is denk ik dan.
Zelf heb ik nog nooit gewerkt met PostgreSQL, maar hoe meer ik er over lees hoe meer ik er over denk om eens serieus te gaan testen met die opensource Database Engine...
MySQL is ooit begonnen als een quick & dirty database die vrijwel geen features implementeerde maar wel snel was. Aangezien het overgrote deel van de beginnende webontwikkelaars nooit van triggers, transacties en stored procedures gehoord had was het ontbreken van die features voor veel webontwikkelaars geen probleem. Pats boem er staat een lijstje op het scherm.

PostgreSQL daarentegen komt uit de academische hoek. Daar waren deze features wel noodzakelijk en het inbouwen van deze features koste tijd en ging ten koste van de performance. PostgreSQL was dus traaaaaaag.

Tegenwoordig is de zaak echter veranderd. Kleine websites worden groot en MySQL moest ook de serieuze features van een database gaan implementeren. Hierdoor werd MySQL trager. Doordat PostgreSQL ondertussen voornamelijk aan de performance van de aanwezige features gewerkt heeft werd PostgreSQL sneller en het gat tussen MySQL en PostgreSQL dus kleiner.

Maar een hoop software is op basis van MySQL geschreven en er is een hoop MySQL kennis dus blijft MySQL populairder.
PostgreSQL daarentegen komt uit de academische hoek.
Meer nog... een van de stichters en hoofdontwikkelaars was vroeger lead designer & programmer van de Informix database. Die komt nu mss. wat minder voor als vroeger, maar ook geen slecht systeem.

Dus PostgreSQL is voor groot deel academisch opgebouwd én uit jarenlange bedrijfservaringen met commercial RDBMS's.
Postgres is een geweldige database. Ik kom uit de Oracle hoek, maar ben sinds ongeveer anderhalf jaar helemaal op Postgres overgegaan. En na Oracle is dat echt een verademing! Al die rare limieten uit Oracle (aantallen cursors, maximum veldlengte van 2000 bytes, dat soort dingen) heb je gelijk geen last meer van onder Postgres. Er zit een geweldige beheerstool bij (pgAdmin3), het is retemakkelijk even installeren (gewoon setup.exe aanklikken of via rpm), je hoeft je geen zorgen te maken over licentiekosten of -problemen, het heeft een uitgebreide featurelist en geweldige documentatie, het is standards compliant, etc. Mocht je serieus met databases bezig zijn dan kan ik je zeker aanraden Postgres eens te proberen.

Misschien ook wel leuk te vertellen wat wij ermee doen: we testen ruimtevaartuigen, en de database bevat alle testconfiguratie en -resultaten - dat is per test iets van 5-10GB aan informatie. Je kunt je misschien wel voorstellen dat we een solide, betrouwbare database dus wel op prijs stellen :)
Het is imho ook erg opvallend dat PostgreSQL dus op een gedeelde eerste plaats staat met MSsqlserver, maar niet in de titel genoemd wordt, sterker nog, het logo staat niet eens in het rijtje!

Postgresql proberen: zeker eens doen.
Vooral de mogelijkheid om stored procedures te schrijven in zo ongeveer elke denkbare taal (ook bijvoorbeeld in PHP of Python) is erg interesant.
Het is naar mijn ervaring een zeer stabiele database, die dan welliswaar niet zo'n fancy grafische omgeving heeft als bijvoorbeeld sqlserver (wat je met gratis tools dan toch kan bewerkstelligen) maar wel precies doet wat je van een database mag verwachten.
De overstap van MySQL naar PostgreSQL is niet zo groot hoor. Er is zelfs een php-mypostgresql-admin.
Precies, 3rd party tools.
Er zijn wel betere trouwens dan die webbased dingen.
De snelheid van MySQL is alleen van toepassing op de MyISAM storage engine. De MyISAM storage engine zorgt dat MySQL geen RDBMS meer is. Alleen met de innodb storage engine is MySQL (min of meer) een RDBMS. Je moet sowieso geen appels met peren vergelijken.
PostgreSQL is een top database. Absoluut de moeite waard voor een IT-er die er wat tijd in wil steken. Net als bij Oracle moet je bij PostgreSQL eerst wat tijd investeren. Daarna kun je met een mooi produkt werken.
Iedereen kent MySQL en het is een makkelijke naam.
Als je naar de naam kijk voor beginner lijk dat MySQL makkerlijker is.
Zelf heb ik ook MySQL maar ik ga eens kijken hoe gebruiksvriendelijk PostgreSQL is.
En ik vind dat MySQl beter in de mond ligt dan PostgreSQL
En ik vind dat MySQl beter in de mond ligt dan PostgreSQL
Daarom wordt PostgreSQL meestal uitgesproken als Postgres.
of gewoon Progresql. :Y)
Eenzijdige conclusie lijkt me...

Als een MS produkt weinig patches nodig heeft is het plots 'onnoemelijk' veel veiliger dan de concurrentie, maar als een MS produkt constant hopen patches nodig heeft dan heeft het plots niets meer met onveiligheid maar wel met 'de brede gebruikersbasis' te maken...

En IMHO is er geen rechtstreeks verband tussen het aantal patches en de veiligheid. Het hangt er allemaal vanaf waar de patches voor nodig zijn...
toch is dat niet waar. Op secunia e.d. wordt aardig bijgehouden hoeveel 'bekende' bugs er zijn, en hoe snel die gepatched worden.

Voor Linux en Firefox mag die vergelijking ook, dus waarom voor Oracle niet?

Daarnaast ben ik het wel eens met diverse mensen hierboven dat je een Database afgeschermd moet hebben staan, dus dat het dan sowieso niet boeit. Probleem is dat bij ze bij Oracle in het algemeen een slecht patch-beleid schijnen te hebben, vooral met hun ERP pakket. Klanten die met final-software meer bugs te verduren krijgen dan bij de concurrentie met beta-software...
Heb het idee dat dit toch wel een degelijk onderzoek is geweest als ik zo zijn geschiedenis bekijk (via google)

Op zijn Wiki bladzijde staat nog iets leuks over hem: "Information Security Magazine voted him as "The World's Best Bug Hunter" for 2003"
Ook O'Reilly heeft een bladzijde over David Litchfield.

En.... toch fijn om te zien en goed om te onthouden is dat het opensourceproject PostgreSQL óók bovenaan de ladder staat.


----
Edit: O'Reilly link toegevoegd.
Ik ben benieuwd naar jouw bewering over de veiligheid van PostgreSQL. Heb je voor mij een link naar de door jou genoemde ladder?

Ik hoor de beweringen vaker, maar ik heb eigenlijk nog nooit een echt onderzoek gelezen wat het bevestigt (of ontkent for that matter)
Litchfield zette Microsoft SQL Server 2000 dan ook bovenaan de veiligheidsladder, naast het opensourceproject PostgreSQL.
Artikel bovenaan de pagina :Z
Als dit een onafhankelijk onderzoek is dan vind ik het best nog wel een verassende uitkomst. Ben benieuwd op de anti-microsoft reacties die er nu vast gaan komen. Maar ja, Microsoft kan soms ook wel eens dingen goed doen!

Overigens geloof ik best wel dat de manier van onderzoeken nogal verschil maakt. Er zal vast wel een onafhankelijk onderzoek uitgevoerd kunnen worden die omgekeerde resultaten geeft. Maar op zich is dit voor SQL Server 2005 natuurlijk goed nieuws :)
Volgens mij is SQLServer nou juist één van de pakketten van Microsoft waar vriend en vijand vol lof over spreekt. Qua snelheid, intergriteit en ook veiligheid scoort SQLServer in vrijwel alle tests gewoon uitstekend.

Het enige minpunt dat wordt regelmatig door 'de vijanden' wordt aangehaald is het 'kostbare' licentie systeem van SQLServer. Voor low-end (en daar bedoel ik mee: weinig concurrent gebruikers en relatief weinig data: < 4GB) oplossingen heeft Microsoft daar MSDE of SQLServer Express voor. Voor high-end oplossingen zijn de licentiekosten relatief verwaarloosbaar.
Het is maar wat je verwaarloosbaar noemt. Wij zijn een relatief "groot" bedrijf (2700 man) maar dan nog vind ik de kosten voor databasesoftware als Oracle of SQL server niet verwaarloosbaar.

Het neemt ieder jaar weer een stevige hap uit ons ICT budget.
Microsoft maakte ooit reklame voor SQL server met de slogan; "1/3 van de snelheid voor 1/236 van de prijs". SQLserver is niet goedkoop, maar de prijzen die Oracle rekent zijn absurd.

Daarom heeft het "goedkopere" support van Oracle op linux ook maar een invloed van 0.025% op de totaalprijs.
PostgreSQL / Ingres anyone? :+

Sorry, ik kon het niet laten
Een ander nadeel voor relatief kleine databases, zoals bijvoorbeeld vaak bij websites gebruikt worden, is toch wel het resource verbruik van SQL Server. Bij Microsoft oplossingen zijn we toch vaak genoodzaakt om de database server op een fysiek aparte server van de website te draaien, zeker als er wat meer bezoekers op de site komen. Met MySQL of Postgres is dat eigenlijk bijna nooit nodig.
Dat impliceert voor ons een extra machine die aangeschaft moet worden en tevens een extra machine die in beheer moet. Qua kostenplaatje zou ik een Microsoft oplossing voor kleine tot middelgrote sites dus ook nooit aanraden.
Bovenstaande zegt overigens niets over de kwaliteit van de database server, die is wat mij betreft top.
Als dit een onafhankelijk onderzoek is dan vind ik het best nog wel een verassende uitkomst. Ben benieuwd op de anti-microsoft reacties die er nu vast gaan komen. Maar ja, Microsoft kan soms ook wel eens dingen goed doen!
volgens mij begin jezelf al meteen met een anti-Micorosft reactie
dat valt toch wel mee,
ik ben zelf ook vrij verrast eigenlijk,

ik heb niet zo heel erg veel ervaring met databases,
maar ik als aan oracle denk zijn de woorden
"snel, supper goed, en ongelofelijk duur" toch de eerste woorden waar ik aan denk,
Terweil dat bij MS-sql respectievelijk toch "matig, niet overdreven goed en niet heel erg duur" zou zijn,

(dit puur op basis van 'gevoel' )

blijkbaar wil deze test bewijzen dat 't in werkelijkheid anders ligt..
Kortom, je hebt er geen verstand van, maar je bent wel verrast. Een anti-MS vooroordeel en reactie dus.
Mijn advies: niet te veel reacties lezen in de nieuwsberichten op Tweakers.net waar Microsoft in voorkomt, want met weinig verstand van zaken loop je dan een groot risico besmet te worden met anti-MS vooroordelen ;)
volgens mij zijn de meeste mensen die geen verstand van zaken hebben juist pro-microsoft, tenminste dat is mijn ervaring.
Mijn vooroordelen over Oracle zijn robuust en duur.
Van SQL server weet ik het niet en gezien de gemiddelde kwaliteit van in mijn ervaring zeker dure Microsoft software ben ik ook verrast.
De vergelijking is overigens niet echt goed, want het gaat om 2 producten tegenover 3 en er wordt niet gerept over de impact van de bugs.
En daarbij wordt misschien nog even vergeten dat SQL server alleen op windoze draait en Oracle ook op Linux/Unix (ook op X88_64/Sparc).

Bij mij ging natuurlijk ook automatisch een trigger af dat dit weer M$ marketing rotzooi is, dus even gegoogled op de onderzoeker : David Litchfield.

Hier staat wat interessants :
http://lists.grok.org.uk/.../2003-January/003598.html

Verder stond dit verhaal in 2004 al op the Register en niemand heeft het bevestigd.
Dus even Secunia gecheckt:
http://secunia.com/product/7/ met een unpatched critical voor M$!
(Meneer vergeet gemakshalve ook de producten SQL server 6.5 en 7)
http://secunia.com/product/6782/ (SQL 2005, ziet er goed uit idd)
10g heeft less critical unpatched:
http://secunia.com/product/3387/
en 9i ook:
http://secunia.com/product/359/
Oracle 8 is blijkbaar zo goed dat het er niet op staat :).

Samengevat vind ik het verhaal dus overtrokken, de aantal patches die hij noemt zijn door secunia niet geregistreerd en SQL Server 2000 heeft nog steeds een open critical!

Lijkt mij dat Oracle op Linux dus nog steeds een veel veiligere oplossing is :)
Zo stelt Alexander Kornbrust van Red Database Security dat de vergelijking oneerlijk is omdat Oracle veel meer features heeft die hackers aantrekken, waardoor het pakket ook meer potentiële doelwitten heeft
Dit vind ik dan weer erg vreem wat die beste man zegt. Dus omdat Oracle veel meer features heeft is de vergelijking oneerlijk.

Betekend dus dan software nooit meer met elkaar vergelijken mag worden om dat een pakket altijd meer features heeft dan een ander pakket.

Dus de veiligheid tussen WIndows, Linux, BSD en Mac OSX mag niet vergeleken worden volgens hem omdat ze allemaal andere en/of meer features hebben...
Ach, er is wel meer oneerlijk. De conclusie had ook kunnen zijn:
Oracle biedt superieure veiligheid tegenover SQL Server

Van de bestaande lekken en veiligheidsrisico's in beide servers, werden in SQL Server 7, 2000 en 2005 de afgelopen zes jaar volgens hem maar 59 lekken gedicht, terwijl Oracle er 233 dichtte om haar database Oracle 8, 9 en 10g beter te beveiligen tegen indringers. Microsoft verspreid sinds halverwege 2003 geen security-bulletins meer om mensen te wijzen op mogelijke tekortkomingen van SQL Server, maar Oracle timmerde hard aan de weg door het aantal patches te laten toenemen.
De onderzoeker was zo vriendelijk nog enige bugs te posten, zodat deze door Oracle (zij het sloom) opgelost kunnen worden, om nog meer meerwaarde in de vorm van Intellectueel Eigendom aan haar producten toe te voegen, en de software in de toekomst nog veiliger te maken.
Tevens hielp de onderzoeker Oracle nog door aan te bevelen meer componenten standaard uit te zetten, waardoor Oracle in dat opzicht minstens net zo veilig wordt als SQL Server, ondanks dat het veel meer features bevat"

Uit deze bevindingen blijkt dat Oracle Microsoft met 2 vingers in de neus de baas is als het gaat om veiligheid"
Wat je ook beweert, je kan altijd wel onderzoeken en statistieken vinden die jou mening op 'feiten gebaseerd' zullen laten lijken. 'T is vooral een kwestie van marketing.

Edit: Na enig nalezen lijkt het er inderdaad op dat Oracle zuigt, sommige bekende lekken waren meer dan 800 dagen ungepatcht. Men heeft bij Microsoft kennelijk meer ervaring met dingen patchen!
Die mag best vergeleken worden, als je maar dezelfde dingen gaat vergelijken.
Als pakket 1 10 onderdelen heeft en pakket 2 8 onderdelen, dan zul je van pakket 1 de 8 vergelijkbare onderdelen moeten vergelijken en niet alle 10. En anders moet je stellen dat pakket 2 t.o.v. pakket 1 een gigantische catastrofale fout bevat, namelijk geen functionaliteit.
Het lijkt me eigenlijk toch ook wel enigzins eerlijk om, wanneer je een onderzoek doet naar de veiligheid van een product, je alle onderdelen van het product meeneemt.

Het lijkt me logisch dat wanneer je (om maar een populair voorbeeld te noemen) IE met Fx op veiligheid vergelijkt, je zéker een kanttekening plaatst bij het ActiveX gebruik van IE. Ook al heeft Fx hierover niet de beschikking, het heeft mijn inziens zeker wel impact op de veiligheid van het product!
Inderdaad. Juist niet gebruikte features die wel standaard geinstalleerd zijn bieden vaak de grootste veiligheidsrisico's. Windows heeft hier legio problemen mee gehad in het verleden (messenger protocol, web printing protocol, om er maar 2 te noemen) en dan roept niemand dat je daar niet naar mag kijken. Dat zou een hacker trouwens ook niet tegenhouden :P

Vandaar de relevante aanbeveling om niet alles standaard te installeren. Heel juist en helemaal niet oneerlijk.
Aantal patches != (on)veiligheid...

MS brengt al tijden geen patches meer uit voor SQL Server dus is het veilig??? Ik blijf dat een rare manier van redeneren vinden. Ga de veiligheid dan testen door met een groep hackers (testers) er eens flink op los te beuken. Misschien dat MS SQL server dan nog als beste uit de bus komt (zou best kunnen, waarom niet), maar dan geloof ik er wat meer in.
Hij heeft zoiets ook daadwerkelijk gedaan (maar dan zelf).

Zoals in de tekst staat heeft hij bij oracle 49 bugs geraporteerd die nog niet zijn opgelost. Bij MS geen 1 bug. Lijkt mij al een redelijk verschil.

En gezien het feit dat er maar patches blijven komen worden er dus ook nog steeds lekken gevonden.

Voor SQL server komen nagenoeg geen patches meer, dus of hij is zo lek als een mandje, of hij is erg goed. Tussenweg in dit geval niet echt mogelijk.
SQL Server draait alleen op Windows en daar zitten al zoveel gaten in dat een inbreker een beetje dom is als hij zoekt naar MS SQL lekken.
MS SQL is een houten deur in een kartonnen huis.
Dat Windows een kartonnen huis zou zijn kan ik me totaal niet in vinden. Wat je wel kunt zeggen over Windows is dat het zo veilig is als dat het ingesteld is door zijn beheerder.

Windows an sich is veilig, het probleem komt er vaak bij kijken dat je ook nog exotische software ernaast wil hebben die wat poortjes open wil hebben en zo nog meer. Als jij echter Windows puur in combo met SQLS2k/2k5 zou gebruiken zou dat toch zeker een "stenenhuis" zijn anders
Je zou natuurlijk ook kunnen redeneren dat de veiligheid van die pakketten in de praktijk continu getest worden... Namelijk door de hackers/crackers/virussen etc etc...

In die zin zijn het aantal openstaande bugs, aantal patches, e.d. wel degelijk een goede maatstaf. Als er ondanks alle aanvallen, nauwelijks bugs hoeven te worden opgelost, dan zit het pakket blijkbaar goed in elkaar.

De vraag is dan alleen in hoeverre de pakketten ook inderdaad in vergelijkbare wijze ingezet worden, in hoeverre de dreiging van buitenaf hetzelfde is.

Je kunt bijvoorbeeld niet Windows met Mac op deze manier vergelijken, aangezien de userbase van Mac's veel te klein is. Virusschrijvers gaan geen moeite doen om 1% van de computers aan te vallen, als ze met dezelfde hoeveelheid werk 90% kunnen aanvallen. Dus is de dreiging niet hetzelfde, en mag je niet op deze manier vergelijken.

Ik kan niet beoordelen in hoeverre deze databases onder dezelfde dreiging opereren...
Jij leest wat je wilt lezen.
De meeste security-bugs voor zowel mssql als oracle hebben betrekking op rechtstreekse toegang tot de engine.

En een beetje bedrijf heeft zijn database zo opgesteld dat deze alleen via een intern netwerk is te bereiken. En mocht internet access echt nodig zijn, dan neem ik aan dat slechts een aantal IP's openstaan in een firewall en dat niet de gehele wereld bij de database kan komen.

Verder brengt Microsoft niet alleen patches, maar ook Service Packs uit. Die bevatten doorgaans ook een hoop opgeloste bugs. Waar Microsoft alleen een patch uitbrengt bij groot gevaar en hem anders in een service pack plaats, brengt Oracle voor elke bug een patch uit.

Blijft bij mij eigenlijk nog de vraag hangen waarom DB2 van IBM niet in deze test is meegnomen? De doelgroep van deze drie database engines zijn namelijk hetzelfde: namelijk de high-end markt.
En een beetje bedrijf heeft zijn database zo opgesteld dat deze alleen via een intern netwerk is te bereiken.
Dit is zeker niet altijd het geval (zoals Blaster bewezen heeft :) ) Er zijn verschillende redenen waarom een database toch via het internet te benaderen moet zijn. 1 daarvan is bv replicatie waarbij twee databases gesynchroniseerd moeten worden. Een ander is het uploaden van data van mobiele gebruikers. In al die gevallen is het logisch om die toegang goed te beveiligen maar de ontwikkelaars van databases moeten rekening houden met de kans dat er door gebruikers geen aanvullende maatregelen getroffen worden en de database zelf voor de bescherming moet zorgen. Blijjkbaar heeft Oracle nog de nodige zwakke plekken op dit punt.

De vraag is wel hoe groot het probleem is. Als de gaten in Oracle normaal gesproken door een goede configuratie van het OS en firewalls afgeschermd worden is het een probleem van een andere orde dan als er bij vrijwel alle installaties van Oracle daadwerkelijk een veiligheidsgat is.
Er zijn verschillende redenen waarom een database toch via het internet te benaderen moet zijn. 1 daarvan is bv replicatie waarbij twee databases gesynchroniseerd moeten worden.
Dat doet iedereen tegenwoordig over/via een vpn.
Daarbij heeft een gemiddelde Oracle dba geleerd niet alle features aan te laten staan. Zelf zet ik zoveel mogelijk Oracle features uit bij installatie. Veel patches dichten lekken in bijvoorbeeld het webserver deel. Dat staat bij ons meestal uit.

Of je het wel of niet achter een firewall zet is misschien een beetje een kip en het ei verhaal. Het kan ook zijn dat databases altijd achter een firewall staan vanwege het belabberde imago.
Al moet ik zeggen dat het idee van welke database dan ook direct op het internet te zetten mij een onprettig gevoel geeft...
Misschien is het handiger als Oracle dat soort features als de webserver per default uit zet?

Dat soort defaults geeft vaak al enigzins aan hoe goed er over veiligheid is nagedacht...
Wat zegt het aantal gedichte veiligheidslekken nu over de huidige veiligheid van de server? Het lijkt me dat je daar niet zo veel over kunt zeggen zonder in de broncode te duiken, en dat gaat in het geval van SQL server natuurlijk wat lastig.

Ik heb liever dat een bedrijf goed onderzoek doet naar haar product en veel patches uitbrengt dan dat een bedrijf security through obscurity implementeert (ook al weet ik niet of dat hier het geval is, natuurlijk).
Omdat iets closed source is (Oracle is dat toch ook ? ) wil dat niet zeggen dat 'security through obscurity hier van toepassing is).

MS heeft de laatste jaren veel aandacht besteed aan hun 'Trusthworthy computing', en dat merk je wel.
Klopt, Oracle is ook closed source; dan nog vind ik het een rare maatstaf om de veiligheid direct te koppelen aan het aantal uitgebrachte patches of het aantal met succes gesloten bugreports (waarbij er geen notie wordt gegeven van de prioriteit van deze reports). :)
Wat raar dat dezelfde mensen, als het om internet explorer vs andere browser gaat, wel de aantallen aanhalen |:(
- het aantal is aanduiding voor het gekende aantal lekken, groter aantal is dus slechter, want hackers gebruiken heel dikwijls gewoon gekende fouten bij niet gepatchte systemen

- het aantal openstaande lekken is zeker maatgevend, want dat zijn gewoon bekende fouten waar geen oplossing voor is, maw een open deur voor iedere hacker
dit wijst gewoon op de traagheid/laksheid van de producent (zo klaagt ook iedereen als MS er 3 maand over doet om een bug in Windows te patchen)
Hmm en dat gaat in het geval van oracle wel makkelijk zeker???
n SQL Server 7, 2000 en 2005 werden in de afgelopen zes jaar volgens hem namelijk 59 lekken gedicht, terwijl Oracle 233 patches nodig had om zijn Oracle 8, 9 en 10g af te sluiten voor indringers. In zijn onderzoek wijst hij er bovendien op dat Microsoft sinds halverwege 2003 geen zogenaamd 'security bulletin' meer moest verspreiden voor zijn SQL Server-software, terwijl Oracle de afgelopen jaren het aantal patches alleen maar zag toenemen.
Dus geen lekken meer melden en dichten dus. Daar wordt oracle veiliger van schijnt.
ja heel grappig.
maar dit is toch wel zorgelijk he?
Naar eigen zeggen heeft de onderzoeker al 49 bugs gerapporteerd aan Oracle, maar moeten deze allemaal nog opgelost worden.
ligt er aan hoe lang geleden hij ze heeft gerapporteerd, kan niet van een bedrijf verwachten dat ze binnen een dag alles hebben gefixt.

En we weten niet wat de aard van de bugs is. dingen die hij als bug\veiligheidslek ziet kunnen er ook mee te maken hebben dat hij dingen verkeerd heeft geconfigureerd (
dit kan ook op het OS zijn) waardoor deze gaten ontstaan .

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True