Oracle zaniża wagę luk w swoich aplikacjach?
- Antoni Steliński,
- 28.04.2011, godz. 16:07
Specjaliści z firmy AppSec twierdzą, że koncern Oracle modyfikuje alerty, zawierające opisy błędów w jego produktach - tak, by luki wydawały się mniej groźne, niż są w rzeczywistości. Modyfikacje polegają na zaniżaniu oceny danego problemu w skali CVSS (Common Vulnerability Scoring System).
Polecamy:
Zobacz także:
Koncern Oracle udostępnia swoje aktualizacje raz na kwartał - firma co trzy miesiące publikuje pakiet łat, usuwających luki z oprogramowania. Każda z nich opisana jest w tzw. alercie bezpieczeństwa, zawierającym m.in. ocenę problemu w skali Common Vulnerability Scoring System.
Zobacz również:
- Większa wydajność nie oznacza większego TCO
- VMware wzywa do pilnej aktualizacji oprogramowania Aria for Network Operations
Modyfikowanie CVSS
Przedstawiciele AppSec twierdzą, że Oracle modyfikuje alerty tak, by luki wydawały się mniej poważne - głównie poprzez podawanie oceny w nieco zmodyfikowanej wersji skali CVSS (koncern wprowadził do skali swoją własną ocenę - Partial+).
Standardowo, w CVSS oceny zawierają się w przedziale od 1 do 10 (to uśredniona wartość, wyliczona na podstawie kilku czynników). Jeden z nich określa, czy złośliwe oprogramowanie wykorzystujące lukę w produkcie Oracle (tzw. exploit) jest w stanie zagrozić wyłącznie dziurawej aplikacji, czy może również środowisku, w którym jest ona zainstalowana. W pierwszym przypadku zagrożenie oceniane jest jako "Partial" (częściowe), w drugim - "Complete" (całkowite).
Complete czy Partial+?
Problem polega na tym, że Oracle - choć oficjalnie deklaruje korzystanie z branżowego standardu CVSS - praktycznie nie używa drugiej noty (co wpływa na ostateczną ocenę zagrożenia). Luki określane w CVSS jako "Complete" Oracle zwykł nazywać "Partial+" - nawet jeśli charakterystyka danego problemu wyraźnie wskazuje, że najbardziej stosowne byłby status "Complete".
Oracle nie skomentował na razie tych doniesień - choć warto podkreślić, że w przeszłości przedstawiciele firmy sugerowali, że w pewnych przypadkach stosowanie takiego nazewnictwa może nieco zaniżać wagę problemu.
Zaklinanie rzeczywistości?
Sprawa jest o tyle poważna, że dla wielu firm ocena w skali CVSS jest podstawowym wyznacznikiem zagrożenia ze strony danej luki i wskazówką co do tego, które aktualizacje należy zainstalować w pierwszej kolejności. W środowisku korporacyjnym wdrażanie aktualizacji jest skomplikowanym procesem, więc jego odpowiednie zaplanowanie jest niezmiernie ważne. A praktyki stosowane przez Oracle mogą całą operację utrudnić - bo zafałszowują rzeczywisty status luk.
"Firmom bardzo trudno jest na bieżąco aktualizować wszystkie systemy - dlatego niezmiernie ważne jest odpowiednie priorytetyzowanie tych działań i usuwanie w pierwszej kolejności najbardziej niebezpiecznych luk" - tłumaczy Rothacker.
Jako przykład praktyk Oracle'a przedstawiciele App Sec wymieniają dwie luki załatane niedawno w bazie danych firmy. Ich analiza wykazała, że są one praktycznie identyczne (różnią się jednym bajtem, występują w tym samym komponencie, mają takie samo działanie), a mimo to jedna z nich została oceniona na pięć punktów skali CVSS, zaś druga - na 7,8. Różnica wynika tylko z tego, że w jednym przypadku luka uzyskała status "Complete", zaś w drugim - "Partial+".