MS SQL Server più sicuro di Oracle?

MS SQL Server più sicuro di Oracle?

Lo sostiene una società di sicurezza inglese, che conta le vulnerabilità dei database di Oracle e quelle di SQL Server. Le somme dei bug, come sempre, non convincono tutti
Lo sostiene una società di sicurezza inglese, che conta le vulnerabilità dei database di Oracle e quelle di SQL Server. Le somme dei bug, come sempre, non convincono tutti

Surrey – I database di Oracle sono meno sicuri di Microsoft SQL Server? È di questa opinione Next Generation Security Software ( NGSS ), che in un rapporto pubblicato qui in PDF ha messo a confronto il numero e la gravità delle patch pubblicate dalle rispettive aziende negli ultimi 6 anni.

Nel proprio studio NGSS ha comparato Oracle 8, 9 e 10g con SQL Server 7, 2000 e 2005: nel primo caso i tre database avrebbero collezionato un totale di 233 patch di sicurezza, nel secondo caso 59 patch. Stando alla società inglese, dunque, nei database di Oracle sono state individuate in questi anni un numero di vulnerabilità quasi quattro volte superiore rispetto a quelle scoperte in SQL Server.

NGSS sostiene di aver assegnato a SQL Server la palma di vincitore anche considerando la gravità media delle falle che hanno colpito i due database concorrenti. L’azienda si è spinta ad affermare che SQL Server 2000 è il più sicuro database sul mercato insieme all’open source PostgresSQL.

Il fondatore e CEO di NGSS, David Litchfield, ha poi fatto notare che nei database di Oracle ci sono ancora 49 vulnerabilità tuttora aperte . Il ricercatore non ha però specificato se e quante vulnerabilità di SQL Server siano ancora senza patch.

Litchfield afferma poi di aver scoperto una nuova classe di vulnerabilità nei database di Oracle che permetterebbero ad un utente, tramite la tecnica dell’SQL injection, di elevare i propri privilegi di accesso a certe aree del database: ciò gli consentirebbe di modificare i record o rubare informazioni. Queste falle sono legate alla non corretta chiusura, da parte di un’applicazione esterna, dei cosiddetti cursor .

Un portavoce di Oracle ha commentato lo studio affermando che “misurare la sicurezza di un software e un processo assai complesso che deve tenere in considerazione fattori quali scenari d’uso, configurazioni di default, velocità con cui vengono risolti i problemi e policy di sicurezza”.

Il rapporto è stato criticato anche da altri ricercatori di sicurezza, soprattutto perché non terrebbe conto dei componenti installati, dello scarso livello di diffusione di SQL Server all’inizio del decennio e della maggiore vulnerabilità dimostrata dal database di Microsoft ai famigerati attacchi di SQL injection.

Link copiato negli appunti

Ti potrebbe interessare

27 11 2006
Link copiato negli appunti