Edition du 21/07/2005 - par Marc Olanié

Après avoir prévenu l'éditeur, attendu trois mois, puis prolongé cette période de trois mois supplémentaires, puis encore vainement attendu une réponse (dixit l'intéressé), Alexander Kornbrust, de Red Database Security, vient de décider de publier une série de bulletins d'alertes concernant les produits Oracle. Deux des failles dénoncées sont, sans l'ombre d'un doute, excessivement dangereuses. Certaines sont connues d'Oracle depuis presque deux ans, notamment un accès directe à la couche d'interprète de commande sous Oracle Report et dans le « Form Service » de l'Oracle's E-Business Suite. A coté de cela, l'écrasement d'un fichier via desname dans Oracle Reports (706 jours sans correction) ou les malheureuses divulgation d'information dans desformat , dans les paramètres personnalisés du reporter ou l'éventualité d'une attaque en cross site scripting peuvent être considérées comme négligeables.

Pour l'heure, aucune menace réelle n'a encore été constatée, mais la lecture desdits bulletins, tous accompagnés de méthodes de « contournement », devraient fortement intéresser les administrateurs de SGBD. Il reste à espérer que les porte-paroles d'Oracle ne se contenteront pas d'un vague communiqué condamnant les « nihilistes irresponsables » qui osent ne pas avoir la patience d'attendre 3 ans la correction d'une faille majeure.