"Microsofts SQL Server veel veiliger dan Oracle-software"

24/11/06 om 00:00 - Bijgewerkt op 23/11/06 om 23:59

Bron: Datanews

Veiligheidsonderzoeker David Litchfield heeft een rapport geschreven waarin hij SQL Server en Oracle-databases naast elkaar zet. Uit zijn bevindingen zou blijken dat Microsoft Oracle met twee vingers in de neus de baas is op veiligheidsgebied.

In SQL Server 7, 2000 en 2005 werden in de afgelopen zes jaar volgens hem namelijk 59 lekken gedicht, terwijl Oracle 233 patches nodig had om zijn Oracle 8, 9 en 10g af te sluiten voor indringers. In zijn onderzoek wijst hij er bovendien op dat Microsoft sinds halverwege 2003 geen zogenaamd 'security bulletin' meer moest verspreiden voor zijn SQL Server-software, terwijl Oracle de afgelopen jaren het aantal patches alleen maar zag toenemen.Litchfield zette Microsoft SQL Server 2000 dan ook bovenaan de veiligheidsladder, naast het opensourceproject PostgreSQL. Oracle 10g bungelt helemaal onderaan het ranglijstje. In een interview met VNUnet.com zei Litchfield ambitieus dat het hem slechts vijf minuten zou kosten een nieuw veiligheidslek in Oracles software te vinden, terwijl hem dat met SQL Server 2005 niet zou lukken. Naar eigen zeggen heeft de onderzoeker al 49 bugs gerapporteerd aan Oracle, maar moeten deze allemaal nog opgelost worden.Eerder deze maand had het analistenbureau Enterprise Strategy Group zijn rapport 'Microsoft SQL Server runs the security table' gepubliceerd, waarin het ongeveer tot dezelfde bevindingen kwam. Dit verslag stuitte echter op heel wat kritiek en dus besloot Litchfield zijn eigen bevindingen op papier te zetten om de conclusie van de ESG te bevestigen.Ook zijn rapport is echter niet onomstreden. Zo stelt Alexander Kornbrust van Red Database Security dat de vergelijking oneerlijk is omdat Oracle veel meer features heeft die hackers aantrekken, waardoor het pakket ook meer potentiële doelwitten heeft. Litchfield is dan weer van mening dat dit zijn stelling bevestigt dat Oracle onveiliger is, en adviseert Oracle dan ook om bijvoorbeeld niet alle componenten standaard te installeren.

Onze partners