Carlos, Temos por aqui o mesmo procedimento que vcs seguem por aí.
Justamente por ser um ERP, temos sempre que consultar o fornecedor da aplicação(Oracle) a respeito de qualquer mudança a ser feita nesse sentido. E muitas das vezes somos recomendados a não implementar a mudança. Algumas tentativas de implementar alguns patches em outros ambientes como DESEnvolvimento e TEINteste e integração foram catastróficas. Agora quando somos recomendados a aplicar, o fazemos em outros ambientes antes de implementar em produção. E geralmente tudo fica nota 10. [ ]'s Salvio -----Mensagem original----- De: Carlos A.M. Menezes [mailto:[EMAIL PROTECTED] Enviada em: terça-feira, 25 de outubro de 2005 09:37 Para: [email protected] Assunto: RES: [oracle_br] Código que explora banco da Oracle cai na web Eu raramente faço atualizações de banco na mesma velocidade em que são lançados, pelos principais motivos: 1- O processo que a Oracle inventou com opatch é de longe, de todos os softwares que administro, o mais complexo de utilizar, sem falar nos scripts que precisam rodar com o banco em modo restrito, ou seja, com o banco indisponível para utilização normal; 2- O processo é particularmente mais complexo no meu ambiente, utilizo Failsafe; 3- Faço uma avaliação dos riscos que meu ambiente está exposto, se não houver uma ameaça iminente, não aplico o patch. Óbvio que cada caso é um caso. Paz Carlos Alfredo -----Mensagem original----- De: [email protected] [mailto:[EMAIL PROTECTED] Em nome de Gari Julio Einsfeldt Enviada em: terça-feira, 25 de outubro de 2005 07:11 Para: [email protected] Assunto: RES: [oracle_br] Código que explora banco da Oracle cai na web Opa, Problemas de segurança sempre são algo que me fascinam. Agora o erro em questão é o que podemos ver através dos links abaixo? http://lists.grok.org.uk/pipermail/full-disclosure/2005-September/037156.htm l http://www.red-database-security.com/wp/sql_injection_reports_us.pdf O peso recae sobre o banco, mas ao meu ver, isso é aplicação. Existe a recomendação de sempre se usar a ultima versão dos softwares. Abro uma nova discussão na lista no sentido de saber quem faz sempre a ultima atualização e discutir um pouco a politica de liberação, caso libere sempre a ultima versão. Aqui normalmente não fazemos. Mesmo pq software tem que ser homologado, testado e se tornar estável. Creio que seja uma conversa interessante :) -----Mensagem original----- De: [email protected] [mailto:[EMAIL PROTECTED] nome de Júnio Fernandes Enviada em: segunda-feira, 24 de outubro de 2005 10:34 Para: Lista - oracle_br Assunto: [oracle_br] Código que explora banco da Oracle cai na web Daí a importância de mantermos nossos sistemas sempre atualizados! Atenciosamente, Júnio Fernandes ================================================== Código que explora banco da Oracle cai na web Um código de demonstração que dá as coordenadas para explorar uma das 88 vulnerabilidades anunciadas pela Oracle em seu servidor de banco de dados já circula pela web. Segundo Alexander Kornbust, diretor de negócios da Red-Database-Security, uma mensagem na lista de discussão Full Disclosure demonstra como explorar a falha, que permite criar ataques de despejo de memória (buffer overflow) e, conseqüentemente, tirar do ar o servidor de banco de dados. "O código pode ser usado em sistemas desatualizados tanto por um atacante que possuir credenciais registradas de usuário quanto em um ataque remoto, utilizando o método de SQL injection [modificação de informações no banco de dados]", disse Kornbust. "Eu experimentei usar o código que explora a falha e ele está funcionando. Recomendo aos administradores que apliquem as correções o mais breve possível", alertou ele. No começo dessa semana, a Oracle divulgou uma série de correções críticas para algumas versões do seu software de banco de dados - no total, 88. Em comunicado, a companhia disse que as versões 9i e 10g da aplicação estavam vulneráveis às falhas, mas o código que explora a vulnerabilidade afeta apenas usuários da 10g. [Robert McMillan - IDG News Service, Inglaterra] ORACLE_BR APOIA 2ºENPO-BR _____________________________________________________________________ O 2º Encontro Nacional de Profissionais Oracle será realizado no dia 05/11/2005 no auditório da FIAP em São Paulo. Serão apresentadas Palestras e Cases dirigidos exclusivamente por profissionais especialistas e renomados no mercado. Confira a programação no site do evento! http://www.enpo-br.org/ _____________________________________________________________________ Area de download oracle_br - http://www.4shared.com/dir/101727/a4dcc423 Links do Yahoo! Grupos ORACLE_BR APOIA 2ºENPO-BR _____________________________________________________________________ O 2º Encontro Nacional de Profissionais Oracle será realizado no dia 05/11/2005 no auditório da FIAP em São Paulo. Serão apresentadas Palestras e Cases dirigidos exclusivamente por profissionais especialistas e renomados no mercado. Confira a programação no site do evento! http://www.enpo-br.org/ _____________________________________________________________________ Area de download oracle_br - http://www.4shared.com/dir/101727/a4dcc423 Links do Yahoo! Grupos ORACLE_BR APOIA 2ºENPO-BR _____________________________________________________________________ O 2º Encontro Nacional de Profissionais Oracle será realizado no dia 05/11/2005 no auditório da FIAP em São Paulo. Serão apresentadas Palestras e Cases dirigidos exclusivamente por profissionais especialistas e renomados no mercado. Confira a programação no site do evento! http://www.enpo-br.org/ _____________________________________________________________________ Area de download oracle_br - http://www.4shared.com/dir/101727/a4dcc423 Links do Yahoo! Grupos [As partes desta mensagem que não continham texto foram removidas] ORACLE_BR APOIA 2ºENPO-BR _____________________________________________________________________ O 2º Encontro Nacional de Profissionais Oracle será realizado no dia 05/11/2005 no auditório da FIAP em São Paulo. Serão apresentadas Palestras e Cases dirigidos exclusivamente por profissionais especialistas e renomados no mercado. Confira a programação no site do evento! http://www.enpo-br.org/ _____________________________________________________________________ Area de download oracle_br - http://www.4shared.com/dir/101727/a4dcc423 Links do Yahoo! Grupos <*> Para visitar o site do seu grupo na web, acesse: http://br.groups.yahoo.com/group/oracle_br/ <*> Para sair deste grupo, envie um e-mail para: [EMAIL PROTECTED] <*> O uso que você faz do Yahoo! Grupos está sujeito aos: http://br.yahoo.com/info/utos.html
