Oracle ofrecerá más y mejor información en sus boletines de seguridad

SeguridadVirus

Oracle mejorará su sistema de notificación de alertas de seguridad, añadiendo más información a la descripción de las vulnerabilidades.

Esto responde a una aclamada demanda por parte de administradores de sus bases de datos, que sufrían desde hace años un confuso sistema trimestral de parches y kilométricos boletines.

Parece que Oracle ha acabado reconociendo que la forma en la que venía describiendo sus problemas de seguridad resultaba manifiestamente mejorable y ha decido rediseñar su sistema de boletines que hasta ahora venía siendo poco más que un jeroglífico. Incluso para usuarios instruidos, parchear una base de datos podía convertirse en toda una hazaña, en la que primero habría que moverse entre enormes tablas o matrices para dar con la versión exacta de cada una de las (normalmente entre 60 y 80) vulnerabilidades que se corrigen trimestralmente. Componentes de aplicaciones, parches acumulativos, versiones con y sin contramedidas, interminables matrices de riesgo… no son pocos los administradores que desisten directamente cuando se enfrentan trimestralmente a tan complicada tarea.

En su edición de octubre de CPU (Critical Patch Update), prevista para el día 17, Oracle añadirá un rango de criticidad a sus boletines, un sumario más detallado sobre las vulnerabilidades corregidas y una nueva sección que destacará los fallos que pueden ser aprovechados de forma remota sin necesidad de autenticación (los que pueden considerarse, por tanto, como críticos y prioritarios).

Para ello, se ayudará de CVSS (Common Vulnerability Scoring System), un estándar que gradúa la severidad de manera estricta a través de fórmulas establecidas. De esta forma los administradores conocerán de manera objetiva (a través de un número) la gravedad de los fallos. Podrán así dar prioridad a la hora de parchear. Además, los fallos más graves aparecerán en primera posición de los boletines. Hasta ahora se ofrecían complejas subtablas que calificaban la facilidad de aprovechar el fallo y el impacto del problema en los tres pilares de la seguridad de la información: la confidencialidad, integridad y disponibilidad de los datos.

CVSS es un sistema ya usado por compañías como Cisco, Qualys, Nessus y Skype que basa el cálculo de rango de criticidad en tres puntuaciones: Base (a su vez calculada a través de siete factores), temporal (un valor calculado a partir de tres factores) y “ambiental” (a través de dos). De estos tres factores principales, los dos últimos (temporal y ambiental) pueden modificar y corregir el primero (la puntuación base) según las circunstancias volátiles de la vulnerabilidad. Un sistema riguroso y objetivo que espera convertirse en el estándar de calificación de vulnerabilidades. En el apartado de más información se adjunta una “calculadora” en línea de CVSS a partir de la introducción de todos los factores.

El sumario, el destacado de las vulnerabilidades más graves, y la adopción de un estándar para calificar las vulnerabilidades, constituirán sin duda un cambio significativo en un sistema de alertas que carecía de información clara y precisa sin necesidad de bucear en un denso y complicado texto. Este oscurantismo unido a los numerosos errores encontrados en sus parches (en este sentido David Litchfield ha sido pieza clave) y en ocasiones incluso los largos periodos (mínimo trimestral y con un récord de 800 días) en los que no se ha proporcionado un parche para algún error, no convierten a Oracle en un paradigma a seguir en este sentido. Esperamos que este sea el primer paso para una mejor seguridad de una de las bases de datos más utilizadas en entornos empresariales.