甲骨文 and Symantec Threat Report: Bad Counting?

通常情况下,我不是在捍卫甲骨文上固定的漏洞的数量,但最近的 赛门铁克互联网安全威胁报告 通过比较苹果和橘子来夸大oracle的漏洞计数。  此版本的威胁报告包含五个领先关系数据库中发现的漏洞数量(Oracle,IBM DB2,Microsoft SQL Server,MySQL和PostgreSQL)的比较。 Oracle在2006年下半年发布的168个漏洞时,Oracle看起来非常糟糕,而在同一期间的IBM DB2和Microsoft SQL Server的5个漏洞。 我不是在这里捍卫Oracle,因为真正的数字是超过5的方式,但是,只有将数据库漏洞与数据库漏洞进行比较时,它远远小于168。

我们的内部计数将Oracle数据库 - 仅在49岁的下半年仅发布的漏洞计数。 在没有任何可选产品的Oracle RDBMS的最有限的安装中,漏洞的数量将为20。 赛门铁克报告确实通过说来解决特征问题 -

"Oracle’S数据库实现提供了更大的功能集和比其他许多数据库供应商的更广泛的数据库产品。应用程序的功能越多,可以找到漏洞的代码越多,以及必须为漏洞进行审核的越多。这可以等同于漏洞比例较高,具体取决于特征的性质和复杂性。"

我发现有趣的是赛门铁克似乎已经能够从IBM DB2计数中过滤IBM WebSphere和其他IBM产品,但对Oracle没有这样做(基于快速搜索 NVD.)。

 Share this post