Microsoft-produkt uten sikkerhetshull

Et sentralt Microsoft-produkt for bedrifter utmerker seg i forhold til konkurrentene: Null hull.

26. mars 2007 - 07:26

Symantec offentliggjorde nylig selskapets rapport om Internett-sikkerheten i andre halvdel av 2006. I rapporten omtaler selskapet også sikkerheten i ulike klasser av programvare. Dette inkluderer databasesystemer.

Data er blant de viktigste eiendelene i nesten enhver organisasjon. Derfor har de også verdi for angripere. Symantec mener at det å sikre hemmeligholdet, integriteten og tilgjengeligheten til dataene derfor bør gis svært høy prioritet i bedriftene.

Det er sjelden behov for å gjøre databasesystemer tilgjengelige direkte via Internett. Dette gjør at angrepene må foregå gjennom andre kanaler, enten gjennom mellomvare eller fra innsiden i bedriften.

I Symantecs rapport går det klar fram at det er stor forskjell på antallet sårbarheter som blir funnet i de vanligste databasessystemene. Dette kan delvis skyldes kompleksiteten og mye funksjonalitet som finnes i produktene, men også innsatsen som er blitt lagt i å finne sårbarheter i produktene. For eksempel kan Oracles «Unbreakable»-kampanje ha bidratt i så måte.

I rapporter trekker Symantec fram databasene IBM DB2, Microsoft SQL Server, MySQL, Oracle og PostgreSQL og sammenligner antallet dokumenterte sårbarheter i de fem systemene som er blitt funnet de tre siste halvårene.

For mange vil det nok komme som en overraskelse at det er Microsofts produkt som kommer best ut her. Ikke bare det – i løpet av denne perioden er det ikke blitt funnet noen nye sårbarheter i SQL Server.

I motsatt ende finner man Oracle. I siste halvdel av 2006 ble det funnet 168 sårbarheter i Oracles databaser. Halvåret før ble det funnet 169 sårbarheter, mens den i andre halvdel av 2005 ble funnet 131.

I de hver av de øvrige databasene er det funnet et ensifret antall sårbarheter i hvert av de aktuelle halvårene, bortsett fra i andre halvdel av 2005, hvor PostgreSQL også greide seg svært godt – altså null sikkerhetshull.

Til tross for dette. Den eneste databasen som er blitt utsatt for et massivt angrep av ondsinnet kode, var SQL Server 2000. Dette skjedde i januar 2003 da ormen SQL Slammer herjet som verst. Alt tyder på at Microsoft SQL Server-utviklere lærte mye av dette.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.