seguridad
Oracle sigue el modelo Microsoft y notifica con antelación sus parches

Ha anunciado por primera vez con antelación, lo que será su publicación trimestral de parches de seguridad. Un resumen previo al estilo Microsoft que adelanta el número y la criticidad de las actualizaciones previstas para el próximo día 16.

Oracle publicará un total de 52 parches de seguridad (menos de los que vienen siendo habituales) para Oracle Database, Application Server, Enterprise Manager, Identity Management, E-Business Suite, Developer Suite y PeopleSoft Enterprise People Tools. Diez de los 27 dedicados a su base de datos, podrán ser aprovechados por atacantes a través de la red sin necesidad de usuario ni contraseña válidos.

Con esta nueva estrategia de anuncio previo de boletín de seguridad, Oracle pretende facilitar a los administradores de sus productos la planificación de aplicación de parches. A nadie se le escapa la analogía con la estrategia de Microsoft. Ya en agosto de 2004 (sólo 10 meses después de que lo hiciera Microsoft) reorganizó su publicación de parches de forma mensual, para modificarla poco después a una planificación trimestral, tal y como se mantiene hoy día.

En octubre de 2004, Microsoft decidió además advertir algunos días antes de la publicación del número de parches planeados, gravedad y productos afectados. Poco más de dos años después Oracle le copia, por segunda vez, la estrategia, aunque ha ido un poco más lejos y en su avance. Oracle ofrecerá además "cualquier información relevante que ayude a las organizaciones a planificar la aplicación del CPU (Critical Patch Update) en su entorno".

Este nuevo cambio en la estrategia de seguridad de Oracle viene a confirmar una clara tendencia de la compañía por mejorar su imagen en este sentido. En octubre de 2006 anunció que mejoraría su sistema de notificación de alertas de seguridad, añadiendo desde entonces un rango de criticidad a sus boletines, un sumario más detallado sobre las vulnerabilidades corregidas y una sección destacada de los fallos críticos y prioritarios.... Además, se ayuda de CVSS (Common Vulnerability Scoring System), un estándar que gradúa la severidad de manera estricta a través de fórmulas establecidas.

Estos movimientos se han producido tras un largo periodo en el que Oracle ha sido criticada hasta la saciedad por su estrategia general de seguridad desde aquel fallido lema de "unbreakable" (irrompible). En los últimos meses, publicaciones como la de David Litchfield que afirmaba que MS SQL era mucho más seguro, unido a los continuos problemas de seguridad, con largos periodos (mínimo trimestral y con un récord de 800 días) en los que no se ha proporcionado un parche para algún error, el anuncio frustrado de la creación de la semana de los fallos en Oracle... han ido deteriorando la imagen de la compañía de las bases de datos.

Está claro que esta nueva estrategia de Oracle está orientada a restaurar la confianza de posibles clientes y ayudará a los administradores. Lo que no estará tan claro para muchos es que se tome como modelo parte de la política de Microsoft. La imagen de la referencia que han decidido adoptar se encuentra también deteriorada en cuestión de seguridad.

Fuente: Hispasec

 
 
Diseño y Mantenimiento El Cyber Digital Designs