Oracle stelt dat zijn beleid voor beveiliging van de eigen software prima functioneert; het repareert gaten in zijn producten in volgorde van belangrijkheid. Het reageert hiermee op de felle kritiek van het Duitse Red Database Security.
Dat beveiligingsbedrijf gaf vorige week informatie vrij over nog altijd openstaande beveiligingsgaten in Oracle-software. Red Database stelt dat de databaseproducent laks is met het repareren van gaten. Van de nu geopenbaarde zes fouten zijn er enkele twee jaar geleden al aan Oracle gemeld, aldus de ontdekker. Die gaten zijn echter nog altijd niet gedicht.
Oracle reageert met de stelling dat het problemen aanpakt in volgorde van de ernst van de onderliggende kwestie en het mogelijke gevaar ervan. Red Database neemt hier geen genoegen mee en is vorige week uit de school geklapt door details over de beveiligingsproblemen te publiceren. Oracle is daar verbolgen over en redeneert dat Red Database had moeten wachten tot er oplossingen of patches zijn.
9i en 10g
Het betreft gaten in Oracle Reports en Oracle Forms. Die twee applicaties zijn onderdeel van de Applications Servers en Developers Suites behorend bij versies 9i en 10g van de Oracle-database. Red Database heeft in april nog contact gehad met Oracle en toen aangedrongen op snelle reparatie.
De ontdekker zegt dat drie van de fouten zeer kritiek zijn, twee gemiddeld en één licht. Het Amerikaanse beveiligingsbedrijf Secunia, dat veelal Microsoft-software kritisch doorneemt, acht de Oracle-fouten redelijk kritiek: drie op een schaal van vijf.
