Correctifs Oracle, soupirs de soulagement et de lamentation

le 20/04/2006, par Marc Olanié, Alerte, 434 mots

La « CPU » trimestrielle d'Oracle tant attendue est arrivée... 39 entrées dans la liste des bulletins d'alerte, dont une part non négligeable (14) concernant la base de données. Une série de rustines qui est publiée dans un climat sinon délétère, du moins sérieusement tendu. La semaine passée, Alexander Kornburst, de Red Database Security, révélait une « divulgation de faille totalement incontrôlée » émise... par Oracle. Une dizaine de jours auparavant, l'un des frères Litchfield recevait une volée de bois vert de la part d'un factotum de Larry Ellison, sur l'éternel couplet des « chercheurs irresponsables osant détailler certaines vulnérabilités avant qu'Oracle ne publie le moindre correctif ». Sans préciser que certaines de ces failles sont connues depuis plusieurs mois. Et l'on reparle, au sein d'un petit cénacle d'experts britanniques, allemands ou américains, d'une histoire de langue que l'on doit tourner 9i fois dans sa bouche avant que d'émettre certains propos. Certes, il faut effectuer un nombre impressionnant de tests de non-régression avant de publier un code de correction puis colmater une brèche dans un SGBD ou un outil de développement. Mais, toujours selon les frères Litchfield, la qualité des dernières rustines livrées semblait très moyenne, corrigeant les conséquences du problème plutôt que son origine. Entre ces « demi-patchs », ces bugs en sommeil, l'avalanche de correctifs délivrés d'un coup (39 cette nuit, 101 en janvier dernier, 82 en octobre....), les administrateurs se sentent parfois un peu otages des événements. A ceci s'ajoute l'impossibilité de tout déployer immédiatement au risque de voir fleurir des problèmes de compatibilité applicative, risque associé corollairement à celui d'une attaque probable sur les trous de sécurité non comblés -il faut moins de 2 semaines en moyenne pour qu'un exploit naisse par ingénierie inverse d'une rustine-. Dans de telles conditions, on imagine que certains administrateurs Oracle éprouvent quelques angoisses durant ces périodes de « patch »... les seuls, avec ceux de Microsoft et de Cisco, qui n'encouragent pas franchement à abandonner la cigarette. Il y existe, à ce sujet, une analyse en français effectuée par Cortina, expliquant dans les grandes lignes la dernière CPU Oracle et surtout effectuant une mise en perspective « historique » des dernières livraisons de bouchons de sécurité (inscription obligatoire pour récupérer ce pdf de 7 pages, mais l'effort est récompensé par un article plus qu'intéressant). Kornburst, de son côté,, n'en rajoute pas : il avait déjà lâché un jet de venin relativement corrosif la semaine passée. Il mentionne discrètement, tout de même, le lien du Bugtraq relatif à la faille Litchfield et précise que des « Additional information will be added soon ». Signalons au passage que tous les « scoop » de Kornburst sont systématiquement signalés par lui-même dans le flux de la mailing list du Full Disclosure.

Toujours des failles béantes dans Java 7 u11

Selon les chercheurs de Security Explorations, la dernière mise à jour de Java, la 7 Update 11, est également vu

le 21/01/2013, par Jean Elyan avec IDG News Service, 440 mots

Une faille Java 0 day en vente 5 000 dollars

Quelques jours après avoir publié un correctif pour une faille zéro day dans les extensions Java découverte la sem

le 18/01/2013, par Jacques Cheminat avec IDG News Service, 241 mots

Attention à la fausse mise à jour Java corrompue

L'éditeur Trend Micro a repéré un morceau de logiciel malveillant qui se fait passer pour le dernier patch pour Java 

le 18/01/2013, par Serge Leblal avec IDG News Service, 430 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »