02/07/01

NOTICIAS

Oracle hace sombra a Microsoft


[Económica]
[Seguridad]
[Nuevos Virus]
[Nuevos Productos]
[Otras noticias]

Graves y diversos agujeros de seguridad detectados en sus productos podrían hacer que Microsoft perdiese su liderazgo en el ranking de las empresas con mayor número de fallos detectados en sus productos

La compañía norteamericana Oracle que ofrece servicios de base de datos, herramientas y aplicaciones de gestión, así como de consultoría, formación y soporte, admitía hace unos días la existencia de graves y diversos agujeros de seguridad en varios de sus productos.

El primero de los fallos, detectado por el equipo de investigación de seguridad de Internet Security Systems, afecta al producto Oracle SQL *Net, también conocido como Oracle Net8, que podría permitir a un intruso realizar ataques de denegación de servicio sobre servidores NT que ejecuten este software de base de datos.

El proceso de escucha de Oracle, redirige las peticiones solicitadas a un nuevo puerto y el servidor de bases de datos de Oracle crea un nuevo acceso para este puerto. Si la conexión no se efectúa, se puede producir una pérdida del acceso y de la memoria consumida hasta que se vuelva a reiniciar el servidor..

Debido a esto, si un atacante solicita repetidamente redireccionamientos que no llegan a completarse, se consumirá toda la memoria del servidor y se bloqueará el acceso de los usuarios legítimos. Tras lo cual, cualquier intento de acceso a la consola dará como resultado la famosa Pantalla Azul, siendo necesario reiniciar el sistema.

Los expertos de ISS aconsejan a los usuarios configurar Oracle Net8 para que emplee una utilidad denominada "valid node checking" que permite al administrador de la base de datos o de la red denegar el acceso al servidor Oracle desde dispositivos de red con determinadas direcciones IP. 

ISS también identificaba cuatro formas de ataques de denegación de servicio contra el servicio de escucha Oracle específico para plataformas Unix. Estas vulnerabilidades podrían permitir a un usuario no autorizado impedir la conexión de los usuarios a la base de datos.

Por otra parte y por si no fuera suficiente, técnicos del Labs COVERT pertenecientes a PGP Security (Network Associates) descubrían hace unos días nuevas vulnerabilidades Oracle. Una, en las librerías TNS que procesan los paquetes Net8 (SQLNet) que permitiría a un intruso lanzar un ataque de denegación de servicio contra cualquier de los servicios TNS Listener, Name Service o Connections Manager.

El otro error se detectaba en Oracle 8i SQLNet que en opinión de los expertos de estos laboratorios debería considerarse de riesgo elevado ya que, debido a una condición de desbordamiento de buffer, un atacante podría ejecutar código arbitrario sobre el servidor de base de datos de modo que obtenga o bien el control total de los servicios de la base de datos o incluso el control de todo el sistema operativo.

En cualquier caso los administradores pueden encontrar información más detallada sobre estos agujeros de seguridad en las páginas de ambos laboratorios autores de los descubrimientos: xforce.iss.net y pgp.com. También pueden descargarse los parches desarrollados por el fabricante para evitar cualquier ataque desde la web: www.metalink.oracle.com. 


Copyright © VIRUSPROT.COM