На какой версии базы данных Oracle сосредоточить свои усилия специалисту по безопасности Oracle? Давайте думать... СУБД Oracle, как одна из самых старых СУБД, присутствующих на рынке, имеет длинную историю, начавшуюся в 1977 году и продолжающуюся до сих пор. В 1977 году Ларри Эллисон, Боб Майнер и Эд Оутс основали компанию Software Development Laboratories (SDL), предшественницу Oracle. В 1979 году SDL сменила имя на Relational Software, Inc. (RSI) и выпустила Oracle v2.
Это была первая коммерческая система управления реляционными базами данных на основе языка запросов SQL. В 1982 году RSI вновь сменила свое имя и стала называться Oracle Systems; с этого момента началась долгая история уже компании Oracle.
C 15 марта 1986 Oracle Сorporation выходит на биржу, а в 1997 году выходит версия Oracle 8 (8.0), которая отличалась повышенной надежностью, поддержкой большего числа пользователей и больших объемов данных.
Oracle 8.0 можно считать самой старой версией СУБД из тех, что могут встретиться в реальной жизни; шанс встретить предыдущие версии на текущий момент очень низок. Следующие версии СУБД уже часто встречаются в реальных системах, даты их выпуска приведены ниже в таблице.
Хронология выпуска версий СУБД Oracle
Год выпуска | Версия СУБД Oracle |
1998 | Oracle 8i Release 2 (8.1.6) |
2000 | Oracle 8i Release 3 (8.1.7) |
2001 | Oracle 9i Release 1 (9.0.1) |
2004 | Oracle 10g Release 1 (10.1.0) |
2005 | Oracle 10g Release 2 (10.2.0.1) |
2007 | Oracle 11g Release 1 (11.1.0.6) |
2009 | Oracle 11g Release 2 (11.2.0.1) |
2013 | Oracle 12c (12.1.0.1) |
Поскольку тема безопасности Oracle довольно обширна, для начала был проведен небольшой анализ того, на чем нужно сосредоточить большее внимание, а именно, какие версии СУБД наиболее распространены на данный момент и на каких операционных системах чаще устанавливают СУБД Oracle.
В результате проведенного анализа данных аудитов за последние 3 года была получена небольшая статистика, выявившая, что в 80% компаний так или иначе использовалась СУБД Oracle. Далее были выявлены наиболее распространенные версии СУБД Oracle (рис. 1).
Как оказалось, Oracle Database версии 9i до сих пор является самой актуальной, несмотря на то, что версия 10g вышла еще в 2004 году, а недавно уже вышла и 11-я версия. Следует отметить, что официальная поддержка версии Oracle 8i прекратилась в декабре 2006 года, и скоро та же участь постигнет и девятую версию.
Это означает, что официальных заплаток на все новые уязвимости, найденные в этих версиях, выпущено не будет.
Была также составлена статистика по операционным системам, на которые обычно устанавливается СУБД Oracle. Как выяснилось, большинство СУБД Oracle было установлено на серверах под управлением ОС Windows и Linux (рис. 2).
Рис. 1. Процентное соотношение популярности различных версий СУБД Oracle
Рис. 2. Процентное соотношение ОС, на которые устанавливается СУБД Oracle, по данным статистики, собранной компанией Digital Security
Исходя из полученной статистики, дальнейший анализ безопасности было решено сосредоточить на наиболее распространенной на данный момент версии Oracle 9i, а также на версии 10g, которая уже в ближайшее время должна ее полностью заменить. Хоть в реальных системах на текущий момент СУБД Oracle 11-й версии почти не встречается, в дальнейших заметках блога о ней будет также немало рассказано, так как рано или поздно она займет свое место на серверах.