Alerte

Inscrivez-vous flux rss

imprimerenvoyerrecevoir

Correctifs Oracle, soupirs de soulagement et de lamentation


Edition du 20/04/2006 - par Marc Olanié

La « CPU » trimestrielle d'Oracle tant attendue est arrivée... 39 entrées dans la liste des bulletins d'alerte, dont une part non négligeable (14) concernant la base de données. Une série de rustines qui est publiée dans un climat sinon délétère, du moins sérieusement tendu. La semaine passée, Alexander Kornburst, de Red Database Security, révélait une « divulgation de faille totalement incontrôlée » émise... par Oracle. Une dizaine de jours auparavant, l'un des frères Litchfield recevait une volée de bois vert de la part d'un factotum de Larry Ellison, sur l'éternel couplet des « chercheurs irresponsables osant détailler certaines vulnérabilités avant qu'Oracle ne publie le moindre correctif ». Sans préciser que certaines de ces failles sont connues depuis plusieurs mois. Et l'on reparle, au sein d'un petit cénacle d'experts britanniques, allemands ou américains, d'une histoire de langue que l'on doit tourner 9i fois dans sa bouche avant que d'émettre certains propos.

Certes, il faut effectuer un nombre impressionnant de tests de non-régression avant de publier un code de correction puis colmater une brèche dans un SGBD ou un outil de développement. Mais, toujours selon les frères Litchfield, la qualité des dernières rustines livrées semblait très moyenne, corrigeant les conséquences du problème plutôt que son origine. Entre ces « demi-patchs », ces bugs en sommeil, l'avalanche de correctifs délivrés d'un coup (39 cette nuit, 101 en janvier dernier, 82 en octobre....), les administrateurs se sentent parfois un peu otages des événements. A ceci s'ajoute l'impossibilité de tout déployer immédiatement au risque de voir fleurir des problèmes de compatibilité applicative, risque associé corollairement à celui d'une attaque probable sur les trous de sécurité non comblés -il faut moins de 2 semaines en moyenne pour qu'un exploit naisse par ingénierie inverse d'une rustine-. Dans de telles conditions, on imagine que certains administrateurs Oracle éprouvent quelques angoisses durant ces périodes de « patch »... les seuls, avec ceux de Microsoft et de Cisco, qui n'encouragent pas franchement à abandonner la cigarette. Il y existe, à ce sujet, une analyse en français effectuée par Cortina, expliquant dans les grandes lignes la dernière CPU Oracle et surtout effectuant une mise en perspective « historique » des dernières livraisons de bouchons de sécurité (inscription obligatoire pour récupérer ce pdf de 7 pages, mais l'effort est récompensé par un article plus qu'intéressant). Kornburst, de son côté,, n'en rajoute pas : il avait déjà lâché un jet de venin relativement corrosif la semaine passée. Il mentionne discrètement, tout de même, le lien du Bugtraq relatif à la faille Litchfield et précise que des « Additional information will be added soon ». Signalons au passage que tous les « scoop » de Kornburst sont systématiquement signalés par lui-même dans le flux de la mailing list du Full Disclosure.

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
La CNIL tire le bilan de 2007 : les données personnelles sont toujours plus menacées

Alex Türk, président de la CNIL, a présenté le rapport 2007 de cette autorité administrative (...)

Certification 27001 : Les RSSI de grands groupes disent non merci !

La norme ISO 27001 constitue un recueil de bonnes pratiques. Mais la certification (...)

Des équipements Cisco contrefaits menacent la sécurité américaine

L'armée américaine et même le FBI auraient acheté des équipements Cisco contrefaits. (...)

Des mini robots espions au service des militaires

Un groupe de marines est tapi derrière un immeuble. Soudain, il essuie des tirs venant (...)

Les informations personnelles de six millions de Chiliens étalées sur Internet

Après les données d'imposition des italiens accessibles - légalement mais durant (...)

Une place de marché destinée aux hackers va aider à bâtir une appliance « 0day »

Une place de marché controversée pour sa commercialisation de vulnérabilités « 0day (...)

La prévention de la fuite de données rapproche deux acteurs du secteur

Le DLP tient encore plus du concept que d'offres complètes. C'est le trop plein en (...)
Recherche
Sondage flash
Dans le cadre du passeport biométrique, une base des empreintes des français devrait être créée, est-ce un risque pour les libertés individuelles :
Conférences
22/05/2008
SECTEUR PUBLIC
De 8h30 à 14h00 à l'Automobile Club de France - Paris 8è
  s'inscrire
conférencestoutes les
conférences
Agenda
Du mercredi 21 mai 2008 au jeudi 22 mai 2008
Huitièmes Assises Nationales des TIC du Secteur Public
Nice - Acropolis
en savoir plus
agendatout
l'agenda