22/08/2018, 10:47

Oracle Database có nhiều lỗi hơn SQL Server

Microsoft thường không công bằng khi chỉ trích các vấn đề bảo mật, đại diện của NGSS nhận xét. Microsoft có thể nói là hãng sản xuất phần mềm "nóng nảy" nhất trong lĩnh vực bảo mật. Nhưng không phải mọi đánh giá của hãng đều bị coi là tồi. Công ty phần ...

Microsoft thường không công bằng khi chỉ trích các vấn đề bảo mật, đại diện của NGSS nhận xét.

Microsoft có thể nói là hãng sản xuất phần mềm "nóng nảy" nhất trong lĩnh vực bảo mật. Nhưng không phải mọi đánh giá của hãng đều bị coi là tồi.

Công ty phần mềm bảo mật Next Generation Security Software (NGSS) của Anh đã thực hiện một cuộc nghiên cứu về phần mềm cơ sở dữ liệu SQL Server của Microsoft và chương trình quản lý cơ sở dữ liệu quan hệ (RDBM) của Oracle. Kết quả cho thấy SQL có nhiều ưu điểm về bảo mật hơn so với Oracle.

Từ tháng 12 năm 2000 đến tháng mười 11 năm 2006, những nghiên cứu mở rộng trên hai gói phần mềm này cho thấy có tới 233 lỗ hổng trong các sản phẩm của Oracle, trong khi SQL Server chỉ có 59 lỗ hổng. Các lỗ hổng này lần lượt được ghi nhận và sửa chữa trong SQL Server 7, SQL Server 2000 và SQL Server 2005; tương ứng với Oracle Database v.8, v.9 và v.10g.

Nguồn: integralaccounting
Từ những kết quả này cho thấy khả năng nghèo nàn về bảo mật vốn nổi tiếng ở MS SQL Server 2000 đã giảm đáng kể. Người sáng lập hãng NGSS, David Litchfield còn cho rằng Microsoft đã thực sự tạo được bước đột phá trong bảo mật cơ sở dữ liệu.

Trong trận chiến này Microsoft giành chiến thắng. Quan điểm của các hãng sản xuất, doanh nghiệp, người tiêu dùng và cả các nhà nghiên cứu trong lĩnh vực cơ sở dữ liệu của Microsoft được nâng cao đáng kể. Gã khổng lồ phần mềm vẫn đang tiếp tục phát triển sản phẩm có chương trình giới hạn chu kỳ thời gian hoạt động. Hãng này còn có "nhiều trận chiến khác cần phải chiến thắng và Oracle chỉ là một trong số đó", theo lời của Litchfield.

Oralce đã đưa ra một số phản ứng. Trong một e-mail bình luận, phát ngôn viên của hãng nói rằng số lượng lỗ hổng của một sản phẩm độc lập không thể khẳng định được mức bảo mật của toàn bộ phần mềm.

Theo phát ngôn viên này thì "các sản phẩm được định nghĩa rất phong phú về thành phần, khả năng cũng như số phiên bản và platform chúng hỗ trợ. Xác định mức bảo mật là quá trình rất tổng hợp. Người tiêu dùng phải xem xét dựa trên nhiều yếu tố, trong đó có cả hoàn cảnh sử dụng, cấu hình mặc định cũng như khả năng sửa chữa, các chính sách công khai và khả năng thực tế".

Tham gia cuộc tranh luận, Pete Lindstrom, một chuyên gia phân tích của Midvale, thuộc Burton Group, công ty có trụ sở tại Utah cho rằng về cơ bản đánh giá mức bảo mật của một sản phẩm chỉ dựa trên số lượng lỗ hổng phát hiện được và sửa chữa là khá phiến diện. "Oracle nhìn bề ngoài có vẻ như thua cuộc. nhưng thực tế còn phải xét đến nhiều tiêu chuẩn khác ngoài các lỗ hổng" khi đánh giá mức độ bảo mật.

Và Lindstrom hoài nghi rằng có thể cho tới giờ "ban giám định vẫn còn nhầm lẫn về phần mềm nào an toàn hơn".

Báo cáo của NGSS được đưa ra đúng vào thời điểm các nhà nghiên cứu bảo mật thấy khó chịu với nhịp độ sửa chữa lỗi chậm chạp của Oracle và gia tăng mức độ quan tâm của mình vào các sản phẩm của hãng. Trong tháng mười, công ty thông báo đã sửa chữa được hơn 100 lỗ hổng theo chương trình nâng cấp bảo mật hàng quý của mình. Nhiều lỗ hổng được phát hiện nhờ các nhà nghiên cứu bên ngoài hãng.

Trong tuần này, công ty bảo mật Argeniss Information Security (AIS) ở Buenos Aires thông báo rằng công ty đang có kế hoạch công bố lỗi zero-day theo lịch hằng ngày cho mỗi tuần trong tháng 12.

Trong một thông báo trên website của công ty, nhà sáng lập Cesar Cerrudo của Argeniss Information Security nói rằng sở dĩ họ thực hiện ý tưởng trên là do xuất phát từ tình hình bảo mật phần mềm hiện tại của Oracle. "Chúng tôi muốn cho mọi người biết rằng Oracle vẫn chưa đạt được điều gì sáng sủa hơn trong bảo mật ở các sản phẩm của hãng". Oracle sẽ phải mất một thời gian rất lâu mới giải quyết được tình trạng của mình. "Có thể chúng ta sẽ có 'năm của lỗ hổng Oracle Database' mặc dù theo chúng tôi chỉ cần một tuần là đủ để biết hết các lỗ hổng trong phần mềm Oracle là những gì", theo website của AIS.
0