Производитель программного обеспечения для компьютерной безопасности AppSec
сообщает о том, что Oracle производит неадекватную оценку уязвимостей. Согласно
исследователям Application Security (AppSec), компания Oracle может вводить в
заблуждение покупателей о серьёзности некоторых уязвимостей, найденных в её ПО.

"Oracle любит преуменьшать степень риска уязвимостей", — сказал Алекс Розекер,
руководитель исследований AppSec. "В результате, организации, использующие
оценки уязвимости от Oracle для выбора приоритетных обновлений, могут
неоправданно повременить с применением некоторых критических патчей", — сообщил
он.

Каждые 3 месяца Oracle формирует и выпускает патчи для устранения недавно
обнаруженных уязвимостей в своих программных продуктах. Компания ранжирует эти
уязвимости по степени серьёзности с помощью
промышленного стандарта —
Общей Системы Оценки Уязвимости
(Common Vulnerability Scoring System, CVSS).

Внимание компании AppSec фокусируется на добавленной Oracle уникальной оценке
Partial+. Оценка CVSS – отдельное число, балл от 1 до 10, отображающее степень
серьёзности уязвимости. Число само по себе является средней величиной группы
чисел, оценивающих различные аспекты степени опасности уязвимости.

Одна совокупность чисел CVSS оценивает насколько серьёзный ущерб может быть
вызван вредоносным ПО, созданным для конкретной уязвимости. Если такая
вредоносная программа-эксплоит могла бы только повредить атакуемое ПО, ей была
бы присвоена неполная оценка (Partial rating). Но если такой эксплоит мог бы
нанести серьезный ущерб работающей системе, ему будет присвоена полная оценка (Complete
rating), которая влечёт за собой повышение числа.

"Пользуясь такой системой, Oracle почти никогда не ставит Complete. В
большинстве случаев компания выберет рейтинг Partial+, что является собственным
вариантом Partial от Oracle", — заметил Розекер. В некоторых случаях, Oracle
может применить Partial+ для уязвимостей баз данных, которые Розекер
охарактеризовал как уязвимости системного уровня.

Oracle всё же признаёт, что некоторые пользователи могут захотеть пересчитать
показатели оценок CVSS, если к ПО присвоен статус Partial+.

Эрик Морис, директор по обеспечению эффективности программной защиты компании
Oracle, в своем блоге признает то, что некоторые компании иногда предпочитают
"увеличить показатели оценки, когда Oracle сообщает им о Partial+".

Официальные представители Oracle воздержались от комментариев по этому
поводу.

Многие организации полагаются на результаты оценки CVSS для того, чтобы
определить приоритетность установки патчей, что иногда требует серьёзных и
длительных испытаний чтобы убедиться, что обновлённое ПО работает правильно.
"Для организации очень сложно устранить неисправности во всех системах. Таким
образом организация располагает уязвимости в приоритетном порядке по уровню
опасности, чтобы справиться с самыми серьёзными в первую очередь", — сообщил
Розекер.

В качестве примера несоответствия Partial+ Розекер приводит пару почти
идентичных уязвимостей, обнаруженных в сетевом стеке базы данных Oracle
исследователем AppSec. "Одной уязвимости Oracle присвоила оценку CVSS в 5
баллов, а другой более серьёзную – в 7.8 баллов, хотя уязвимости отличались друг
от друга всего лишь на 1 байт", — рассказал в своём блоге Эстебан Мартинез Файо,
исследователь системы безопасности. Основная разница между двумя оценками
заключалась в том, что одной, оцененной как менее опасная, был присвоен статус
Partial+, а другой – Complete.

Конечно, компания AppSec лично заинтересована в том, чтобы офицеры
безопасности, ответственные за защиту данных, провели пересмотр отчётов об
уязвимостях Oracle. Компания предлагает контролирующее ПО для оценки
безопасности баз данных, а также свою собственную пересмотренную шкалу
серьезности для уязвимостей баз данных Oracle. Но у компании действительно
имеются знания о слабых местах Oracle: ее исследователи обнаружили 4 из 6
уязвимостей баз данных, которые Oracle устранила во время последнего обновления.

Не только у AppSec возникают сомнения по поводу уникальной оценки Oracle
Partial+.

Создавая оценку Partial+, Oracle по сути разрабатывает свою собственную
систему измерения, отметил Эдриан Лейн, технический директор и аналитик фирмы
безопасности Securosis. Лейн, который также недавно рассматривал данную тему в
блоге, отметил — несмотря на то, что CVSS обеспечивает лишь приблизительный
показатель опасности уязвимости, данная система оценки все-таки полезна для
администраторов. "Изменяя базовую систему показателей CVSS, Oracle вносит
беспорядок в систему", — сказал он.

Лейн согласен с оценкой Розекера: уязвимость, которая затрагивает все таблицы
базы данных, является системной уязвимостью. Если же уязвимость затрагивает
всего несколько таблиц, тогда ее следует считать Partial, но при установлении
контроля над всей базой данных, эксплойт может нарушить деятельность всей
платформы и тогда ему присваивается оценка Complete, отметил он.



Оставить мнение