Software developer diary! :-)


Questo blog si concentra sul mondo dello sviluppo software , e su quello dell'Hi-Tech
Ora e Data
Archivio Posts
Anno 2007

Anno 2006
Statistiche
  • Views Home Page: 18.126
  • Views Posts: 183.083
  • Views Gallerie: 10.719
  • n° Posts: 184
  • n° Commenti: 29

SQL Server più sicuro di Oracle?

Lo sostiene una società di sicurezza inglese, che conta le vulnerabilità dei database di Oracle e quelle di SQL Server. Le somme dei bug, come sempre, non convincono tutti.
Surrey - I database di Oracle sono meno sicuri di Microsoft SQL Server? È di questa opinione Next Generation Security Software (NGSS), che in un rapporto pubblicato qui in PDF ha messo a confronto il numero e la gravità delle patch pubblicate dalle rispettive aziende negli ultimi 6 anni.

Nel proprio studio NGSS ha comparato Oracle 8, 9 e 10g con SQL Server 7, 2000 e 2005: nel primo caso i tre database avrebbero collezionato un totale di 233 patch di sicurezza, nel secondo caso 59 patch. Stando alla società inglese, dunque, nei database di Oracle sono state individuate in questi anni un numero di vulnerabilità quasi quattro volte superiore rispetto a quelle scoperte in SQL Server.

NGSS sostiene di aver assegnato a SQL Server la palma di vincitore anche considerando la gravità media delle falle che hanno colpito i due database concorrenti. L'azienda si è spinta ad affermare che SQL Server 2000 è il più sicuro database sul mercato insieme all'open source PostgresSQL.

Il fondatore e CEO di NGSS, David Litchfield, ha poi fatto notare che nei database di Oracle ci sono ancora 49 vulnerabilità tuttora aperte. Il ricercatore non ha però specificato se e quante vulnerabilità di SQL Server siano ancora senza patch.

Litchfield afferma poi di aver scoperto una nuova classe di vulnerabilità nei database di Oracle che permetterebbero ad un utente, tramite la tecnica dell'SQL injection, di elevare i propri privilegi di accesso a certe aree del database: ciò gli consentirebbe di modificare i record o rubare informazioni. Queste falle sono legate alla non corretta chiusura, da parte di un'applicazione esterna, dei cosiddetti cursor.

Un portavoce di Oracle ha commentato lo studio affermando che "misurare la sicurezza di un software e un processo assai complesso che deve tenere in considerazione fattori quali scenari d'uso, configurazioni di default, velocità con cui vengono risolti i problemi e policy di sicurezza".

Il rapporto è stato criticato anche da altri ricercatori di sicurezza, soprattutto perché non terrebbe conto dei componenti installati, dello scarso livello di diffusione di SQL Server all'inizio del decennio e della maggiore vulnerabilità dimostrata dal database di Microsoft ai famigerati attacchi di SQL injection.

Punto Informatico
Categoria: Programming.NET
mercoledì, 29 nov 2006 Ore. 12.39
Calendario
dicembre 2024
lmmgvsd
2526272829301
2345678
9101112131415
16171819202122
23242526272829
303112345
Mappa
Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003