Автор статьи, к сожалению, не до конца разобрался в предмете. Дело в том, что существует два программных продукта — Oracle9i Database (сервер баз данных) и Oracle9i Application Server (сервер приложений).
Из приведенного в статье списка атак 16 относятся именно к серверу приложений (это видно из таблицы в статье), и только одна (самая первая в таблице) — к серверу баз данных. Для начала стоило бы разделить Oracle9i Application Server (проблемам с которым, собственно, и посвящена статья) и Oracle9i Database.
Слоган Unbreakable (“неуязвимый”) относится именно к Oracle9i Database (и об этом ясно и недвусмысленно сказано во всех маркетинговых документах, доступных на корпоративном сайте www.oracle.com).
Таким образом, по сути нужно рассматривать только одну атаку — самую первую в списке. Надо сказать, что относится она вовсе не к серверу БД, а к внешней процедуре (external procedure), т. е. это взлом операционной системы, а не Oracle9i Database.
Используя этот трюк, можно стать пользователем операционной системы — пользователем с именем Oracle, а это ничего не дает с точки зрения базы данных — разве что ее можно скопировать как файл.
Что же касается сути вопроса, то процедура исполняется уже как отдельный модуль и с Oracle связана каналом передачи данных (здесь-то как раз и обнаружено уязвимое место). При чем здесь СУБД Oracle? Механизм named pipes — это механизм операционной системы, а не СУБД.
Получается, что Oracle9i Database действительно оправдал все те сертификаты, которые ему были выданы международными организациями, если за полгода все хакеры мира не смогли нащупать что-либо более существенное, чем внешние процедуры (которыми, кстати, в защищенных системах не пользуются — они применяются для выполнения обработки внешних по отношению к базе данных объектов).
За все это время была обнаружена единственная уязвимость, опасность которой в статье существенно преувеличена: утверждение, что “…уязвимость, обнаруженная 6 февраля 2002 г., позволяла злоумышленнику удаленно выполнять абсолютно любое действие на сервере баз данных...”, является попросту неверным.
Слова автора “...несмотря на то, что Oracle имеет 14 сертификатов, число обнаруженных в нем уязвимостей превысило допустимые пределы...” абсолютно не соответствует действительности. На самом деле была обнаружена только одна уязвимость, да и то спорная!
Автор статьи также берет на себя ответственность ставить под сомнение объективность международных организаций по стандартам в области информационной безопасности, а также объективность Государственной технической комиссии при Президенте Российской Федерации (все эти организации сертифицировали СУБД Oracle на соответствие критериям информационной безопасности): “…поставив под сомнение не только способность компании Oracle создавать защищенную продукцию, но и непредвзятость организаций, выдавших вышеназванные сертификаты качества…”.
Получается, что журналист PC Week обвиняет в недобросовестности по сути все институты, занятые сертификацией в области безопасности!
Таким образом, если разобраться объективно, то получается, что не было никаких катастрофических взломов сервера баз данных Oracle!
