Segurança para data centers virtualizados
A Oracle confirmou que pelo menos 32 dos seus produtos são afetados pela vulnerabilidade descoberta recentemente na linha de comando intérprete Bash - também conhecido como o " Shellshock "bug - incluindo alguns dos caros sistemas de hardware integrados da empresa.
O gigante banco de dados emitiu um alerta de segurança sobre o assunto na sexta-feira, alertando que muitos clientes da Oracle vai ter que esperar mais um pouco para receber patches.
"A Oracle está ainda a investigar este problema e fornecer correções para produtos afetados assim que eles foram totalmente testados e determinados para fornecer mitigação eficaz contra a vulnerabilidade", disse a empresa.
Entre os produtos afetados são aparelhos Oracle Cluster Exalogic, que custam a partir de $ 250,000 cada.
Também vulneráveis são o Oracle Data Appliance, Big Data Appliance, SPARC Supercluster, Sun ZFS Storage Appliance Kit, e uma variedade de pacotes de software, incluindo o Oracle VM, o Oracle Key Vault, e toda uma gama de produtos da Oracle Communications.
A Oracle não ofereceu nenhuma cronograma para quando as correções estarão disponíveis, e nem sempre é conhecida por um pronto atendimento a vulnerabilidades de segurança. Ele foi criticado por arrastar os pés quando uma onda de críticas façanhas do navegador Java plug-in surgiu em 2013, por exemplo.
Mas alerta de sexta-feira não foi de todo uma má notícia. A Oracle diz manchas Shellshock já estão disponíveis para os seus sistemas de Exadata engenharia, além de versões do Oracle Linux 4-7 e versões do Solaris 8-11.
A Oracle não planeja enviar avisos aos clientes individuais quando novas correções tornam-se disponíveis, para que os clientes são aconselhados a manter a verificação da causa alerta de segurança página para atualizações.
Eles não devem ter que esperar muito tempo. Depois de uma tentativa incompleta para corrigir a vulnerabilidade Shellshock ( CVE-2014-6271 ) na quarta-feira, o Projeto GNU emitido um novo conjunto de patches na sexta-feira para as versões Bash o velho eo novo, que deve esmagar corretamente um bug relacionado ( CVE-2014-7169 ) descoberto por Tavis Ormandy.
Em uma declaração sobre o assunto, da Free Software Foundation diretor-executivo John Sullivan atribuiu a rápida resolução da questão Shellshock ao fato de que Bash é um software livre, acrescentando que software proprietário freqüentemente vem com erros ocultos que os clientes não podem ser resolvidos por si mesmos.
"Estamos revendo o desenvolvimento Bash, para ver se o aumento do financiamento pode ajudar a prevenir problemas futuros", disse Sullivan. "Se você ou sua organização usar Bash e são potencialmente interessados em apoiar o seu desenvolvimento, entre em contato conosco." ®
Nenhum comentário:
Postar um comentário