Acusan a Oracle de ignorar las vulnerabilidades de sus aplicaciones
Un centro de investigación de seguridad de Alemania ha tomado la decisión de revelar seis vulnerabilidades de seguridad serias en los productos de Oracle. Se trata de una medida poco corriente que el centro ha justificado como forma de dar a conocer la incapacidad de Oracle de solucionar estos errores, comunicados hace dos años.
Hace dos años, Red Database Security, un centro de investigación de seguridad ubicado en Alemania, comunicó a Oracle que había localizado dos agujeros de seguridad en Oracle Reports y Oracle Forms, aplicaciones de uso masivo en herramientas empresariales. Estos fallos podrían permitir a los atacantes ejecutar comandos maliciosos, revelar información o reescribir archivos, entre otras acciones.
Alexander Kornbrust, de Red Database Security y descubridor de los fallos, asegura que facilitó las instrucciones detalladas de cómo sacar partido de estas vulnerabilidades así como la manera de protegerse hasta que se hicieran públicos los parches. Unas medidas que pueden localizarse en http://www.red-database-security.com/advisory/published_alerts.html.
Según denuncia Kornbrust, han pasado entre 663 y 718 días desde que se comunicaran estas vulnerabilidades sin que se tenga conocimiento de que Oracle haya desarrollado los parches para las mismas. Cabe señalar que no es la primera vez que la compañía tiene que hacer frente a críticas por la presunta tardanza en resolver estos problemas de seguridad.
Kornbrust también señala que hace tres meses comunicó a Oracle que publicaría los detalles si no se ponía a disposición, en julio de este año, los parches que solucionaran estos fallos. “Soy consciente de que los productos Oracle son complejos y que lleva su tiempo desarrollar un buen parche, pero Oracle nunca ha pedido más tiempo, y ya ha pasado el suficiente”, señala el investigador.
Oracle, por su parte, ha declarado que no está de acuerdo con publicar una vulnerabilidad antes de que esté disponible su parche, porque se puede poner en riesgo la seguridad de los usuarios.
Alexander Kornbrust, de Red Database Security y descubridor de los fallos, asegura que facilitó las instrucciones detalladas de cómo sacar partido de estas vulnerabilidades así como la manera de protegerse hasta que se hicieran públicos los parches. Unas medidas que pueden localizarse en http://www.red-database-security.com/advisory/published_alerts.html.
Según denuncia Kornbrust, han pasado entre 663 y 718 días desde que se comunicaran estas vulnerabilidades sin que se tenga conocimiento de que Oracle haya desarrollado los parches para las mismas. Cabe señalar que no es la primera vez que la compañía tiene que hacer frente a críticas por la presunta tardanza en resolver estos problemas de seguridad.
Kornbrust también señala que hace tres meses comunicó a Oracle que publicaría los detalles si no se ponía a disposición, en julio de este año, los parches que solucionaran estos fallos. “Soy consciente de que los productos Oracle son complejos y que lleva su tiempo desarrollar un buen parche, pero Oracle nunca ha pedido más tiempo, y ya ha pasado el suficiente”, señala el investigador.
Oracle, por su parte, ha declarado que no está de acuerdo con publicar una vulnerabilidad antes de que esté disponible su parche, porque se puede poner en riesgo la seguridad de los usuarios.
