Según NGSS, la base de datos Oracle padece más vulnerabilidades que SQL Server
La firma británica Next Generation Security Software (NGSS) ha llevado a cabo un estudio comparativo sobre vulnerabilidades en la base de datos SQL Server de Microsoft y en los productos de gestión de base de datos relacional (RDBM) de Oracle. El estudio concluye que la plataforma de Oracle presenta muchas más brechas de seguridad que SQL Server.
Entre diciembre de 2000 y noviembre de 2006, investigadores externos descubrieron 233 vulnerabilidades en la solución de Oracle frente a las 59 encontradas en la tecnología SQL Server de Microsoft, según NGSS. La investigación se centró en las brechas descubiertas y parcheadas en SQL Server 7, 2000 y 2005 y en las versiones 8,9 y 10g de la base de datos Oracle.
Los resultados muestran que la reputación de baja seguridad que el servidor MS SQL arrastra desde 2002, no está ya justificada, según David Litchfield, fundador de NGSS. “Creo que es tiempo de pasar página en este sentido; especialmente, los investigadores de seguridad deberían abandonar sus prejuicios. Los procesos de ciclo de vida para el desarrollo de software de Microsoft parecen estar funcionando bien”.
Un portavoz de Oracle ha comentado que las vulnerabilidades reportadas por los investigadores sobre un producto no constituyen por sí mimas un criterio válido para determinar la seguridad global de este tipo de software. “Los productos varían significativamente en términos de riqueza de funcionalidades y capacidades, así como en el número de versiones y plataformas soportadas. Medir la seguridad es un proceso muy complejo, y los clientes deben tomar en cuenta múltiples factores, incluidos los escenarios de utilización, las configuraciones por defecto, los sistemas para remediar las vulnerabilidades, y las prácticas y políticas relacionadas con su revelación”. El analista de Burton Group Pete Lindstrom coincide en la opinión de que establecer el nivel de seguridad de un producto sobre la única base del número de vulnerabilidades descubiertas y parcheadas probablemente no sea el mejor enfoque posible.
El informe de NGSS ha sido elaborado en un momento en que los investigadores de seguridad, molestos por lo que consideran un ritmo de desarrollo de parches excesivamente lento por parte de Oracle, están prestando una especial atención al análisis de los productos de este fabricante. En octubre, la compañía anunció parches para unas cien brechas dentro de su actualización trimestral de seguridad. Muchas de esas vulnerabilidades fueron notificadas por investigadores externos.
