Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties

Oracle brengt dinsdag voor een aantal van zijn softwarepakketten een update uit die in totaal 66 beveiligingsproblemen oplost. Onder de kwetsbaarheden waren ernstige gaten in de beveiliging, bijvoorbeeld in OpenOffice en de Oracle-database.

Oracle/SunSommige kwetsbaarheden maakten remote code execution mogelijk, geeft Oracle aan. Onder andere de Oracle-databaseserver en OpenOffice waren kwetsbaar, maar ook Fusion Middleware, JD Edwards Suite en PeopleSoft.

Ook in een aantal producten van Sun, dat door Oracle is overgenomen, worden gaten gedicht, onder meer in de virtual machine-software VirtualBox, Java System Portal Server en Solaris. Oracle brengt elke drie maanden een megapatch uit waarmee een groot aantal beveiligingslekken wordt gedicht.

Vrijdag werd bekend dat Oracle 138 arbeidsplaatsen wil schrappen bij de Nederlandse vestiging van Sun. Dat zou nodig zijn na 'diverse overnames door Oracle', maar een concrete aanleiding heeft het bedrijf niet gegeven.

Moderatie-faq Wijzig weergave

Reacties (33)

Ja hoor ... Wat een marketing geblaat weer.
Beveiligings issues in OpenOffice??? Wat moet er beveiligd worden?
En als je elke functie die mogelijk geoverbufferd kan worden als een beveiliging lek beschouwd kan ik ook in elke programma wel 200 "bugs" vinden. 8)7

Edit: Dat kan je met elk programma doen, bij een degelijke OS kan je daarmee niets schadelijks doen, hooguit een paar files van de gebruiker zelf verpeste of het office programma laten crashen. En dat zijn gewoon bugs, geen beveiligings lekken ofzo.
Hooguit dat 1 of 2 echte beveiligings lekken hebben aangepakt met de Database. De rest zijn gewoon bug fixes. Daarom: Marketing blaat.

[Reactie gewijzigd door kaasinees op 17 januari 2011 11:08]

Als ik een paar files van de gebruiker kan aanpassen kan ik dus in principe het OS in gevaar brengen. Immers er is geen enkele reden om aan te nemen dat een gebruiker niet toevallig te veel rechten heeft voor het werk dat hij/zij uitvoert.

Je moet de admins de kans geven die even als root een probleempje oplossen en dan niet meteen weer uitloggen... helaas zijn alle mensen in staat fouten te maken en is het dus wel degelijk een beveiligings probleem als je een buffer overflow kunt bewerkstelligen. Het idee dat een OS altijd hoe dan ook kan beschermen tegen dit soort dingen is gewoon verkeerd. Immers als jij als root de opdracht geeft bepaalde bestanden te veranderen dan is er voor het OS echt geen andere optie dan jouw commando op te volgen, een OS dat dat niet doet is niet te beheren.

De enige optie om echt dit soort dingen tot een minimum te beperken is bijvoorbeeld zo als Google met Chrome OS lijkt te willen doen, en het OS zelf op een hardware matige manier te beveiligen waarbij de gebruiker fisiek een schakelaar over moet halen om het wijzigen van deze bestanden mogelijk te maken. Maar zelfs dan zul je er voor moeten zorgen dat je niet gewoon het OS kunt booten omdat anders gebruikers de schakelaar overhalen en vergeten terug te zetten waarna je nog net zo ver van huis bent als zonder de schakelaar.

De enige manier om beveiliging echt goed te regelen is om zo veel mogelijk de rechten van de gebruiker te ontnemen en niemand ook de admin/root user niet te vertrouwen. Op dat moment kom je bij een veilig systeem aan een systeem dat niet door een gebruiker kan worden overtuigt om iets uit te voeren met meer rechten dan het zou absoluut moet hebben.
Ook dan zul je natuurlijk alle overflows en andere problemen moeten oplossen maar je kunt er zeker van zijn dat als je alle overflows hebt opgelost in applicaties die privliged access nodig hebben dat je OS op die manier niet meer in gevaar gebracht kan worden.

Maar een enkel bestand dat misschien zelf geen root nodig heeft maar dat wel door root wordt gestart van uit een ander programma bijvoorbeeld kan dan nog steeds een probleem op leveren.

Dit is een van de redenen dat een kleine fout in een programma of een library binnen het linux wereldje zo's groot gevaar kan betekenen. Omdat Linux wat dat betreft erg incestueus is en vrijwel alles hergebruikt is het niet ondenkbaar dat een bug in een library die niets met administratie te maken heeft toch problemen op kan leveren voor een programma dat root rechten nodig heeft.

Ik kan Oracle niet meer dan gelijk geven als zij zeggen dat een buffer overflow een beveiligings probleem is en dat dit opgelost moet worden om er zeker van te zijn dat er geen misbruik van gemaakt wordt en dat er geen systemen is gevaar worden gebracht.
Immers als jij als root de opdracht geeft bepaalde bestanden te veranderen dan is er voor het OS echt geen andere optie dan jouw commando op te volgen, een OS dat dat niet doet is niet te beheren.
Windows bv Server 2008 en SBS 2003, net weer eentje tegen gekomen, bestand niet te verwijderen. Windows zegt dat het nog in gebruik is door een proces. Wat je ook doet, Windows geeft het niet vrij. Enige dat mogelijk helpt is server herstarten (tijdens kantooruren moeten je werknemers er bij, buiten kantooruren je klanten) of zo'n tool als FileAssasin.
De enige manier om beveiliging echt goed te regelen is om zo veel mogelijk de rechten van de gebruiker te ontnemen en niemand ook de admin/root user niet te vertrouwen. Op dat moment kom je bij een veilig systeem aan een systeem dat niet door een gebruiker kan worden overtuigt om iets uit te voeren met meer rechten dan het zou absoluut moet hebben.
Consequent doorgevoerd betekent dat ook dat zelfs root geen applicaties mag installeren en dat er effectief dus niemand meer iets met het systeem kan.
Wel is het daarna perfect beheersbaar, precies zoals sommige systeembeheer-afdelingen het graag zien: de gebruikers kunnen gewoon niets. Die gebruikers kunnen dan helaas ook hun werk niet meer doen.
Ik kan Oracle niet meer dan gelijk geven als zij zeggen dat een buffer overflow een beveiligings probleem is en dat dit opgelost moet worden om er zeker van te zijn dat er geen misbruik van gemaakt wordt en dat er geen systemen is gevaar worden gebracht.
Waar computers gebruikt worden zullen er mensen zijn die proberen meer te kunnen doen als ze mogen (zelfs zonder dat ze het weten) kunnen mensen proberen het te misbruiken enzovoorts. Terecht dus.
Ik zie niet hoe dit marketing is.
Ze roepen nu eigenlijk: "Tot nu toe hebben er 66 bugs in onze programmas gezeten, laten we die er maar een keer uit gaan halen."
ze weten al langere tijd af van deze bugs. dat ze nu ineens een patch voor 66 bugs releasen zal wel te maken hebben met de bedrijfskritische 'nature' van het stukje software.
Een flink deel van de Windows virussen maakt gebruik van gaten in Microsoft Office. Een Office-pakket bevat tegenwoordig een hele programmeeromgeving en mensen zijn gewend om Office-bestanden online uit te wisselen. Een ideale omgeving voor virussen en krakers dus.
één van Kaasinees' punten, waar hij overigens gelijk in heeft, is dat een lek in een programma geen invloed zou moeten hebben op het onderliggende besturingssysteem, mogelijk doelend op de *nix familie van OSen.

Microsoft probeert tegenwoordig zijn systeem te beveiligen door bijv. Internet Explorer in een sandbox te laten draaien, geïsoleerd van het onderliggende OS. Da's ook een oplossing, natuurlijk.
Tegenwoordig? Visual Basic for Applications is alweer van 1996, en WordBasic al van 1991.
OpenOffice voert operaties uit op data (lezen / schrijven / opslaan van documenten), dus als hierin een bug zit kan dat gemakkelijk een beveiligingsprobleem opleveren. Een voorbeeld is een document dat via een bug embedded code zou kunnen uitvoeren.

OO is niet dusdanig simpel dat er geen (beveiligings-) fouten in zitten.

Edit: typo

[Reactie gewijzigd door Dooxed op 17 januari 2011 11:32]

Oracle heeft al jaren deze CPU (Critical Patch Updates) alleen komt het nu misschien wat meer in het oog van het publiek omdat sinds de overname van Sun ook OpenOffice etc er onder valt..
Een buffer overflow is geen serieuze bug? Bestanden van de gebruiker kunnen wissen is niet schadelijk?
Ik geloof niet dat ik jou ooit zou aannemen als ontwikkelaar :)
hooguit een paar files van de gebruiker zelf verpeste of het office programma laten crashen
Hooguit???????

Ga jezelf eens afvragen welke documenten op je desktop je nu werkelijk niet kan missen? Welke documenten wil je echt niet dat je kwijt raakt of dat ze beschadigd raken?

Welke documenten kun je niet makkelijk vervangen of herstellen?

Juist, dat zijn de files van de gebruiker zelf!
highest CVSS Base Score of vulnerabilities affecting Oracle Database Server is 7.5.

Toch niet echt geblaat. Audit Vault scoort zlefs een 10.0! Nu is Audit Vault sowieso een "fout" product, en redelijk simpel te kraken, omdat er een basale denkfout gemaakt wordt, maar da's O/T...
Dat gaan LibreOffice mooi meenemen, of is daar een probleem mee? Het is toch gewoon een fork hé, dus kunnen ze code van mekaar nemen? :p
Dat kan alleen als OpenOffice nog steeds open (source) is én als LibreOffice t.o.v. OpenOffice nog niet veranderd is. Indien wel, dan moet je gewoon elke patch weer opnieuw uitvinden.
Als de code die de bug fixes betreft onder een opensource licentie vallen dan wel.
Artikel laat het overkomen alsof 1 patch al deze producten aanpast...
Terwijl ik dat idee helemaal niet krijg van de bron (en me ook aardig vreemd zou lijken).

Ik vraag me nu af hoe het gesteld is met deze bugs in Libre Office, want dat is toch van Open Office afgeleid. En wordt hiermee niet ineens de positie van Oracle in dat verhaal een stuk begrijpelijker? Tenslotte los je liever eerst de huidige bugs op voordat je verder gaat met nieuwe features...
Inderdaad, volgens mij zijn er weinig systemen waar de Oracle DB en OpenOffice naast elkaar draaien. (Gezien het feit dat men op een DB server vaak geen gebruikers toelaat om eens lekker te gaan tekstverwerken.)
Het blijft jammer (in het algemeen): eerst zoveel mogelijk functionaliteiten op de markt gooien, en achteraf pas eens kijken waar er allemaal gaten worden gevonden.
Een totaal verkeerd systeem.
Als jij de programmeur bent die bugvrije software kan schrijven zodat er bugvrije software verkocht wordt, kun je héééél veel geld verdienen.

Bugvrije software bestaat niet.
Klopt, maar ik heb het idee dat kimborntobewild iets anders bedoeld, namelijk de neiging van veel leveranciers om gewoon brakke software op de markt te gooien en alleen als genoeg mensen er last van hebben er wat aan te doen. Het is wel duidelijk dat veel bedrijven testen nog altijd als kostenpost zien en kwaliteit minder belangrijk vinden dan kwantiteit.

En kom op, als je ooit een keer bij een bepaald Oracle product de melding "deinstallation of this product is not supported" krijgt te zien, dan krijg je wel meteen het gevoel dat er iets niet geheel pluis is, maar dat kan aan mij liggen.

Ik hoop wel dat het installeren van die patches wat gebruikersvriendelijker is dan het geweest is, want mijn sterkste herinnering aan Oracle software is toch wel dat het een crime is wat je aan patches moet installeren en moet rondklooien om de boel aan de gang te krijgen.
Ze moeten is ophouden met het uitbrengen van software voor dat het grondig getest is!

Hoef je ook niet steeds van die vervelende updates te instaleren zoals bij java we zijn al bij 23 geloof ik. allemaal gemiddeld 150mb.
Update 23 sinds het begin van 2007, waarbij er ook versies zijn die niet kritisch waren..
Laatste versie is 16 MB groot.. Poeh poeh, nou nou.. Overdrijven is ook een vak.
Een simpele applicatie als een rekenmachine kun je van gort tot haver helemaal doortesten. Maar paketten als OpenOffice (bekijk de ontwikkelhistorie in de periode van StarOffice eens) en Oracle DB (da's ook geen kleine applicatie, hoor) zijn lastig op alle gevallen te testen, helemaal als er meer dan honderd man aan bezig zijn geweest.
Tja, als je het goed wilt doen moet je vanaf het allereerste begin op alle mogelijke fouten letten. Hoe later je in het proces komt, hoe lastiger, meestal is het een en ander nogal met elkaar verweven en dus als je iets veranderd om een bug te verhelpen loop je het risico elders weer een bug te introduceren.
Je weet dat we inmiddels in 2011 leven?
is -> eens.

Ten tweede, dit wordt al grondig getest. Bedrijven als Oracle en het voormalige Sun hebben tientallen, zo niet honderden fulltime testmedewerkers die de producten grondig uittesten. Maar zelfs dan loop je tegen zeldzame bugs aan. Voorbeeld uit de vorige Java update (22):
The fix for CVE-2010-3560 could cause certain Java applets running in the new Java Plug-in to stop working if they are embedded in web pages which contain JavaScript that calls into Java in order to perform actions which require network security permissions. These applets may fail with a network security exception under some circumstances if the name service which resolved the original web page URL host name does not return a matching name as the result of a reverse address lookup.
Dat had jij waarschijnlijk ook niet gevonden.
Als jij het zo vervelend vind, installeer je toch één keer een versie en daarna niet weer. Je hoeft niet te updaten, je hebt enkel jezelf er mee als er iets mis gaat.
Grappig om de reacties te lezen: mensen die de ballen verstand hebben van Oracle blaten over zaken waar ze echt geen verstand van hebben. Oracle brengt al jaren CPU-patches uit, maar om de een-of-andere reden haalt het nu een keer het nieuws en zijn de rapen gaar.
Met de kop van het artikel komt het anders toch echt over alsof hij deze groter is dan anders.
Misschien gewoon goede marketing van Oracle, of misschien broodnodig?

[Reactie gewijzigd door Crazy Harry op 17 januari 2011 13:00]

Voor het beeld: bij de vorige ronde werden er 85 'beveiligingsproblemen' opgelost. :Y)
Goede marketing van Oracle dus :P
Volledig eens, maar grappig vind ik het niet. Eerder schokkend. Ik zit werkelijk waar met verbazing sommige reacties te lezen.
Je wilt niet weten hoeveel van dit soort 'bugs' worden gebruikt als hack vectoren. Kennelijk is er nog wel het een en ander te onderwijzen, zelfs op een tweakers site. Je zou toch een intelligenter niveau verwachten.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True