Oracle: Hold nallerne fra vores kildekode

Stik modsat trenden blandt andre programudbydere, taler Oracle dunder mod kunder, som vil lede efter sikkerhedshuller i deres programmer.

Hold jer væk fra vores kildekode, lyder det skarpt fra Oracle til brugerne, og dermed går it-giganten syd for San Francisco stik imod andre store it-selskaber som Google og Microsoft, når det gælder om at finde bugs og sikkerhedshuller i deres software.

Version2 omtalte i går, at Microsoft har udlovet en dusør på 100.000 US dollars for indrapportering af sikkerhedsfejl, mens digi.no har omtalt, at Google udlover dusører for fejl fundet i Crome og Android

Oracles sikkerhedsdirektør, Mary Ann Davidson, kom med advarslen til kunderne i den officielle Oracle-blog tidligere på ugen. Indlægget er ganske vist nu slettet, men kan findes både i Googles Webcache og hos Seclists.org

I indlægget gør Maria Ann Davidson opmærksom på, at det er et brud på licensaftalen, hvis kunder ved brug af analyseværktøjer går i gang med reverse engineering af Oracle-programmer for at lede efter sårbarheder.

I blogindlægget argumenterer Oracle-direktøren for, hvorfor kunderne skal holde sig fra jagten på sikkerhedsbrister. Hun mener f.eks. ikke, at kunderne kan afgøre, om en advarsel fra et scanningsværktøj er dækket ind af en sikkerhedsmodul i programmet. Hun påpeger også, at kunderne ikke selv kan patche fejl i programmet, og så gentager hun for dem, der endnu ikke har fattet det, at brug af analyseprogrammer er i strid med licensaftalen.

Hun gør det også klart, at mange fejlrapporter fra kunderne er falsk positive, og at det stjæler tid fra Oracle.

Angiveligt har Oracle henvendt sig direkte til en række kunder for at gøre dem opmærksom på, at reverse engineering er i strid med licensaftalen. Dog vil selskabet lukke de huller, som man anerkender som ægte og gyldige.

I stedet for at lede efter sikkerhedshuller opfordrer Mary Ann Davidson blandt andet kunderne til at holde deres program opdateret og kryptere følsomme data.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Kofoed

De forsøgte at presse penge ud af os for en serviceaftale på en enkelt lille MySQL-installation. Beløbet var horribelt i forhold til de kr. 0,- som var udgangspunktet. Og som det fortsat er, da jeg pegede på GPL-licensen. Men går den, så går den vel.

Der er heldigvis mange gode alternativer til MySQL.

  • 0
  • 0
Kresten Kjaer

http://www.databasesoup.com/2015/08/please-security-test-our-code.html

  • Feel free to "reverse engineer" the code. In fact, here it is on github (https://github.com/postgres/postgres) if you want to scrutinize it.

  • We generally credit security researchers who find real security holes (with limitations for duplicates, etc.). Over the last few years, some of the most critical bugs in PostgreSQL were found by professional security researchers doing things like fuzz testing.

  • If you think you've found a security issue, please report it to security@postgresql.org. If it turns out to be a non-issue, we'll tell you, and you can report it as a regular bug.

  • Be prepared to answer questions about your report. We showed you our code, you can show us yours.

  • 6
  • 0
Niels Dybdahl

I blogindlægget frabeder Oracle sig ikke fejlrapporter, men de er ret trætte af folk som sender autogenererede rapporter på flere hundrede sider ind og forventer at Oracle gider læse dem igennem.
Oracle bruger allerede værktøjer til statisk kodeanalyse og har bedre forudsætninger for at fortolke resultaterne. Jeg bruger også selv sådanne værktøjer (både et som arbejder på sourcekode og et som arbejder på bytekode). I begge tilfælde er jeg nødt til at undertrykke nogle af fejlmeldingerne fordi værktøjerne ikke er perfekte. Så jeg kan godt forstå at Oracle ikke gider at læse andres rapporter.
At Oracle så brokker sig over at nogle af værktøjerne som deres kunder har brugt arbejder på sourcekode og at kunderne derfor må have dekompileret koden i strid med licensaftalen er en anden sag. Kunderne har jo nok gjort det i god mening og så virker det voldsomt, at få at vide at man har overtrådt reglerne.
Men hvis kunderne sætter sig ned og selv læser disse autogenererede megarapporter og prøver at se om der er nogen rigtige problemer imellem og laver et proof-of-concept på at de problemer kan udnyttes, så kan kunderne jo godt oprette en issue hos Oracle uden at de behøver at afsløre at de har overtrådt reglerne.

  • 1
  • 1
Morten Abildgaard

Sikke da noget vrøvl, Niels. Hvor har du dog fået det fra?

MariaDB er licenseret som GPL2: https://mariadb.com/kb/en/mariadb/mariadb-license/
Oracle hverken ejer eller har noget som helst hos MariaDB, som er ejet af MariaDB Foundation.

Oracle har til gengæld modtaget kode (bug fixes) fra MariaDB.
Oracle giver som altid absolut intet igen, og har lukket brugerne af for brugbare informationer om de sikkerhedshullerne der jævnligt dukker op.

Gider du ikke lige bruge 10 sekunder på at læse op på tingene så der ikke bliver spredt forkerte rygter fra V2?

  • 2
  • 0
Ole Tange Blogger

Næsten rigtigt: MariaDB er baseret på MySQL kodebasen. Men MySQL er licensieret under GPL. Det betyder, at man frit må forke den og lave sin egen version af MySQL. Det er den ret, som MariaDB har brugt.

Så ja: MariaDB benytter en del af MySQLs kode. Men nej: Oracle har ikke eneret til koden.

  • 1
  • 0
Log ind eller Opret konto for at kommentere