Lo sostiene una società di sicurezza inglese, che conta le vulnerabilità dei database di Oracle e quelle di SQL Server. Le somme dei bug, come sempre, non convincono tutti.
Surrey - I database di
Oracle sono meno sicuri di
Microsoft SQL Server? È di questa opinione Next Generation Security Software (
NGSS), che in un rapporto pubblicato
qui in PDF ha messo a confronto il numero e la gravità delle patch pubblicate dalle rispettive aziende negli ultimi 6 anni.
Nel proprio studio NGSS ha comparato Oracle 8, 9 e 10g con SQL Server 7, 2000 e 2005: nel primo caso i tre database avrebbero collezionato un totale di 233 patch di sicurezza, nel secondo caso 59 patch. Stando alla società inglese, dunque, nei database di Oracle sono state individuate in questi anni un numero di vulnerabilità
quasi quattro volte superiore rispetto a quelle scoperte in SQL Server.
NGSS sostiene di aver assegnato a SQL Server la palma di vincitore anche considerando la gravità media delle falle che hanno colpito i due database concorrenti. L'azienda si è spinta ad affermare che
SQL Server 2000 è il più sicuro database sul mercato insieme all'open source PostgresSQL.
Il fondatore e CEO di NGSS, David Litchfield, ha poi fatto notare che nei database di Oracle ci sono ancora
49 vulnerabilità tuttora aperte. Il ricercatore non ha però specificato se e quante vulnerabilità di SQL Server siano ancora senza patch.
Litchfield afferma poi di aver scoperto
una nuova classe di vulnerabilità nei database di Oracle che permetterebbero ad un utente, tramite la tecnica dell'SQL injection, di elevare i propri privilegi di accesso a certe aree del database: ciò gli consentirebbe di modificare i record o rubare informazioni. Queste falle sono legate alla non corretta chiusura, da parte di un'applicazione esterna, dei cosiddetti
cursor.
Un portavoce di Oracle ha commentato lo studio affermando che "misurare la sicurezza di un software e un processo assai complesso che deve tenere in considerazione fattori quali scenari d'uso, configurazioni di default, velocità con cui vengono risolti i problemi e policy di sicurezza".
Il rapporto è stato criticato anche da altri ricercatori di sicurezza, soprattutto perché non terrebbe conto dei componenti installati, dello scarso livello di diffusione di SQL Server all'inizio del decennio e della maggiore vulnerabilità dimostrata dal database di Microsoft ai famigerati attacchi di SQL injection.
Punto Informatico