Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Keskiviikko, 8.9.2004

Haavoittuvuuksia IBM DB2 -tietokantaohjelmistossa

CERT-FI varoittaa, että laajoissa tietokantaympäristöissä käytetystä IBM DB2 -tietokantaohjelmistosta on löytynyt useita haavoittuvuuksia, joista kaksi on luokiteltu vakavuudeltaan kriittisiksi. Haavoittuvuudet löytäneen NGS Software -yhtiön mukaan hyökkääjä voi hyödyntää puskuriylivuotohaavoittuvuuksia etäältä ja suorittaa tietokantapalvelimella omia komentojaan. NGS Software aikoo julkistaa yksityiskohtaiset tiedot haavoittuvuuksista vasta 1. joulukuuta, kun DB2-ylläpitäjät ovat ehtineet päivittää järjestelmänsä.

Haavoittuvuuksille alttiita DB2-versioita ovat 8.1 Fixpak 6 ja aiemmat versiot sekä 7.x Fixpak 11 ja aiemmat versiot. IBM julkisti viime viikolla Fixpak 7- ja Fixpak 12-korjauspäivitykset, jotka korjaavat haavoittuvuudet eri versiosarjoissa.

IBM ei ole ainoa tietokantaohjelmistovalmistaja, jonka tuotteista on viime aikoina löytynyt haavoittuvuuksia. DB2:n kanssa samoista markkinoista kilpailevasta Oracle-tietokantaohjelmistosta löytyi viime viikolla useita haavoittuvuuksia.

oma, 8.9.2004 00:00. Lähde: CERT, IBM, NGS Software

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 11 uutta / 11 )
pistettä.
Näytä vain kommentit joilla on vähintään
Ei paha
Anonyymi kommentoija, 8.9.2004 00:29:10		 Pisteet: 0
Ei näistä enterprise tason tietokannoista löytyvät aukot ole _niin_ vaarallisia kun niihin harvemmin on suoraa pääsyä netistä.
Re: Ei paha
Anonyymi kommentoija, 8.9.2004 01:03:45		 Pisteet: 0
Ei näistä enterprise tason tietokannoista löytyvät aukot ole _niin_ vaarallisia kun niihin harvemmin on suoraa pääsyä netistä.
aika hassusti yhteen uutiseen vaan sumputettu "lukuisia tossa ja tässä" jos kyse olisi ollut microsoftin tuotteesta olisi jokainen haavoittuvuus saanut oman otsikon. Trollihan tämä oli mutta silti ihmetyttää.
Re: Ei paha
Anonyymi kommentoija, 8.9.2004 08:01:39		 Pisteet: 0
aika hassusti yhteen uutiseen vaan sumputettu "lukuisia tossa ja tässä" jos kyse olisi ollut microsoftin tuotteesta olisi jokainen haavoittuvuus saanut oman otsikon. Trollihan tämä oli mutta silti ihmetyttää.
Etsitkö meille esimerkin koska näin on viimeksi tapahtunut? En nimittäin itse muista tuollaista.
Re: Ei paha
Anonyymi kommentoija, 8.9.2004 12:46:18		 Pisteet: 0
aika hassusti yhteen uutiseen vaan sumputettu "lukuisia tossa ja tässä" jos kyse olisi ollut microsoftin tuotteesta olisi jokainen haavoittuvuus saanut oman otsikon. Trollihan tämä oli mutta silti ihmetyttää.
Etsitkö meille esimerkin koska näin on viimeksi tapahtunut? En nimittäin itse muista tuollaista.
Miten olisi tämä:
http://sektori.com/uutiset/5900/windows
Re: Ei paha
Anonyymi kommentoija, 8.9.2004 14:28:00		 Pisteet: 0
Miten olisi tämä: http://sektori.com/uutiset/5900/windows
Otsikkona:
"Windows XP SP2:ssa kaksi lievää tietoturvareikää"

Jos jokainen haavoittuvuus olisi saanut oman otsikon, niin pitäisi olla vähintään kaksi uutista, joissa molemmissa kerrotaan yhdestä tietoturvareiästä.

Eli haluatko yrittää uudestaan?
Re: Ei paha
Anonyymi kommentoija, 9.9.2004 11:09:33		 Pisteet: 0
Jos jokainen haavoittuvuus olisi saanut oman otsikon, niin pitäisi olla vähintään kaksi uutista, joissa molemmissa kerrotaan yhdestä tietoturvareiästä. Eli haluatko yrittää uudestaan?
En. Jos ei mennyt perille, niin pointtini oli se, että MS:n ongelmista uutisoidaan välillä ehkä tarkemmalla tasolla kuin muiden toimittajien tuotteista. Mutta eiköhän jätetä tämä keskustelu tähän.
Re: Ei paha
Anonyymi kommentoija, 8.9.2004 10:00:47		 Pisteet: 0
aika hassusti yhteen uutiseen vaan sumputettu "lukuisia tossa ja tässä" jos kyse olisi ollut microsoftin tuotteesta olisi jokainen haavoittuvuus saanut oman otsikon. Trollihan tämä oli mutta silti ihmetyttää.
Kyse on nyt varmaan kuitenkin siitä että noihin tietokanta-härpäkkeisiin nyt on tärähtänyt varmaan vähän vähemmän löydettäviä virheitä kuin MS:n käyttikseen. Veikkaisin että kyse on enemmän kuitenkin siitä että MS:n tuote on huomattavasti monikäyttöisempi jolloin siihen myös varmaan virheitäkin helpommin sattuu kuin tuollaiseen tietokantaohjelmistoon. Jos vertaa vähän virheellisesti niin tuotahan tietokantasysteemiähän voisi verrata windowssin levynkäsittelyyn josta myöskin harvemmin noita virheitä löytyy. Joten eiköhän tuo niputtaminen nyt ole tässä yhteydessä ollut ihan hyvä juttu kuitenkin..

Tuo puskuriylivuotohaavoittuvuus on nyt ollut aika suosittua, sitä näyttäisi löytyvän vähän jokaisesta systeemistä.. Ilmeisesti nämä puskuriylivuotojen tarkastelut on todettu joskus aika yhdentekeviksi kun näitä löytyy näin kovasti ? Noh, enpä ole kauheasti asiaan tutustunut enkä tiedä aivan teknisesti miten tuo homma edes pelaa mutta luulisi että tuollaisen tsekkaaminen on aika helppoa ja korjauskin saataneen nopeasti... (siis, voin olla kyllä väärässäkin ;))
Re: Ei paha
Anonyymi kommentoija, 8.9.2004 10:25:24		 Pisteet: 0
eikkaisin että kyse on enemmän kuitenkin siitä että MS:n tuote on huomattavasti monikäyttöisempi jolloin siihen myös varmaan virheitäkin helpommin sattuu kuin tuollaiseen tietokantaohjelmistoon. Jos vertaa vähän virheellisesti niin tuotahan tietokantasysteemiähän voisi verrata windowssin levynkäsittelyyn josta myöskin harvemmin noita virheitä löytyy.
Et ilmeisesti ole tutustunut esim. Oraclen tuotteisiin? Jo perus RDBMS asennuksesta löytyy vaikka minkälaista pilliä ja kelloa, joiden toiminnallisuus on usein vielä suhteellisen monimutkaista. Oracle on hoitanut hommansa ihan kohtuullisesti, paitsi tämä viimeisin patchaus-episodi oli kyllä kelvottomasti valmisteltu. Huono dokumentaatio ja security by obscurity fiilis jäi siitä mieleen.
Re: Ei paha
Anonyymi kommentoija, 8.9.2004 11:07:03		 Pisteet: 0
-Hauskintahan tässä on se surullisen kuuluista "unbreakable" mainoskamppanja, koska ekat reiät muistaakseni löydettiin jo ennen kuin nuo ekat mainokset ehtivät lehtiin! Sen jälkeenhän niitä on löytynyt reilusti (monin verroin enemmän verrattuna DB2 tai SQL Serveriin), joten ihme ettei oikeuden käyntien luvatussa maassa Oraclea ole haastettu oikeuteen valheellisesta mainonnasta.

Tosin sitten siellä olis yx hedelmäfirmakin niistä "maailman tehokkaimmista työasemista...."
Re: Ei paha
Anonyymi kommentoija, 8.9.2004 19:12:51		 Pisteet: +1
-Hauskintahan tässä on se surullisen kuuluista "unbreakable" mainoskamppanja, koska ekat reiät muistaakseni löydettiin jo ennen kuin nuo ekat mainokset ehtivät lehtiin! Sen jälkeenhän niitä on löytynyt reilusti (monin verroin enemmän verrattuna DB2 tai SQL Serveriin)
Vastaan itse useista Oracle-palvelimista ja luonnollisesti postilaatikkoon kilahtaa kaikki sec-alertit, jotka Oraclen tuotteita koskevat. Uskallankin sanoa, että suurin osa mainitsemistasi rei'istä on koskenut Oraclen muita softia kuin perus RDBMS:a. Itse tietokantaa koskeneet reiätkin on yleensä olleet jossakin sellaisessa komponentissa, jota meillä ei käytetä. Viime viikolla joutui pitkästä aikaa oikeasti tekemään pitempää päivää patchauksen takia.
Karitku 3 kuukautta riittää?
Karitku, 8.9.2004 19:55:38		 Pisteet: +1
Miten minusta tuntuu ettei noista järjestelmistä ole kyllä kaikki, tuskin edes suurinta osaa ole korjattu tuohon menessä. Mitä järeämpi systeemi sitä pienemmät muutokset, tuntuu olevan totuus noissa.

Huolestuttavaa on huomata ettei suurin tietoturva uhka ole tuntemattomat tietoturvareiät vaan nimenomaan tunnetut ja julkaistut. Kun suuri osa hakkereista on kuitenkin näitä aloittelija kakaroita jotka lähes täydet ohjeet repäisevät netistä kunhan joku taitava yksilö ne tekee. Onhan se toki helpompaa kun tietää mihin kohdistua siinä systeemissä. Toki 3 kuukautta on paljon, mutta onko se sittenkään riittävästi?
Voitku