Polecamy:

• Oracle chce pogrzebać Itanium?
• Kalkulowanie ryzyka

Zobacz także:

• Atak na RSA - włamywacze wykorzystali lukę w Adobe Flash Player
• Krótka historia zagrożeń bezpieczeństwa smartfonów

Koncern Oracle udostępnia swoje aktualizacje raz na kwartał - firma co trzy miesiące publikuje pakiet łat, usuwających luki z oprogramowania. Każda z nich opisana jest w tzw. alercie bezpieczeństwa, zawierającym m.in. ocenę problemu w skali Common Vulnerability Scoring System.

Zobacz również:

• Większa wydajność nie oznacza większego TCO
• VMware wzywa do pilnej aktualizacji oprogramowania Aria for Network Operations

Modyfikowanie CVSS

Przedstawiciele AppSec twierdzą, że Oracle modyfikuje alerty tak, by luki wydawały się mniej poważne - głównie poprzez podawanie oceny w nieco zmodyfikowanej wersji skali CVSS (koncern wprowadził do skali swoją własną ocenę - Partial+).

Standardowo, w CVSS oceny zawierają się w przedziale od 1 do 10 (to uśredniona wartość, wyliczona na podstawie kilku czynników). Jeden z nich określa, czy złośliwe oprogramowanie wykorzystujące lukę w produkcie Oracle (tzw. exploit) jest w stanie zagrozić wyłącznie dziurawej aplikacji, czy może również środowisku, w którym jest ona zainstalowana. W pierwszym przypadku zagrożenie oceniane jest jako "Partial" (częściowe), w drugim - "Complete" (całkowite).

Complete czy Partial+?

Problem polega na tym, że Oracle - choć oficjalnie deklaruje korzystanie z branżowego standardu CVSS - praktycznie nie używa drugiej noty (co wpływa na ostateczną ocenę zagrożenia). Luki określane w CVSS jako "Complete" Oracle zwykł nazywać "Partial+" - nawet jeśli charakterystyka danego problemu wyraźnie wskazuje, że najbardziej stosowne byłby status "Complete".

Oracle nie skomentował na razie tych doniesień - choć warto podkreślić, że w przeszłości przedstawiciele firmy sugerowali, że w pewnych przypadkach stosowanie takiego nazewnictwa może nieco zaniżać wagę problemu.

Zaklinanie rzeczywistości?

Sprawa jest o tyle poważna, że dla wielu firm ocena w skali CVSS jest podstawowym wyznacznikiem zagrożenia ze strony danej luki i wskazówką co do tego, które aktualizacje należy zainstalować w pierwszej kolejności. W środowisku korporacyjnym wdrażanie aktualizacji jest skomplikowanym procesem, więc jego odpowiednie zaplanowanie jest niezmiernie ważne. A praktyki stosowane przez Oracle mogą całą operację utrudnić - bo zafałszowują rzeczywisty status luk.

"Firmom bardzo trudno jest na bieżąco aktualizować wszystkie systemy - dlatego niezmiernie ważne jest odpowiednie priorytetyzowanie tych działań i usuwanie w pierwszej kolejności najbardziej niebezpiecznych luk" - tłumaczy Rothacker.

Jako przykład praktyk Oracle'a przedstawiciele App Sec wymieniają dwie luki załatane niedawno w bazie danych firmy. Ich analiza wykazała, że są one praktycznie identyczne (różnią się jednym bajtem, występują w tym samym komponencie, mają takie samo działanie), a mimo to jedna z nich została oceniona na pięć punktów skali CVSS, zaś druga - na 7,8. Różnica wynika tylko z tego, że w jednym przypadku luka uzyskała status "Complete", zaś w drugim - "Partial+".