Alerte

Inscrivez-vous flux rss

imprimerenvoyerrecevoir

Correctifs Oracle, soupirs de soulagement et de lamentation


Edition du 20/04/2006 - par Marc Olanié

La « CPU » trimestrielle d'Oracle tant attendue est arrivée... 39 entrées dans la liste des bulletins d'alerte, dont une part non négligeable (14) concernant la base de données. Une série de rustines qui est publiée dans un climat sinon délétère, du moins sérieusement tendu. La semaine passée, Alexander Kornburst, de Red Database Security, révélait une « divulgation de faille totalement incontrôlée » émise... par Oracle. Une dizaine de jours auparavant, l'un des frères Litchfield recevait une volée de bois vert de la part d'un factotum de Larry Ellison, sur l'éternel couplet des « chercheurs irresponsables osant détailler certaines vulnérabilités avant qu'Oracle ne publie le moindre correctif ». Sans préciser que certaines de ces failles sont connues depuis plusieurs mois. Et l'on reparle, au sein d'un petit cénacle d'experts britanniques, allemands ou américains, d'une histoire de langue que l'on doit tourner 9i fois dans sa bouche avant que d'émettre certains propos.

Certes, il faut effectuer un nombre impressionnant de tests de non-régression avant de publier un code de correction puis colmater une brèche dans un SGBD ou un outil de développement. Mais, toujours selon les frères Litchfield, la qualité des dernières rustines livrées semblait très moyenne, corrigeant les conséquences du problème plutôt que son origine. Entre ces « demi-patchs », ces bugs en sommeil, l'avalanche de correctifs délivrés d'un coup (39 cette nuit, 101 en janvier dernier, 82 en octobre....), les administrateurs se sentent parfois un peu otages des événements. A ceci s'ajoute l'impossibilité de tout déployer immédiatement au risque de voir fleurir des problèmes de compatibilité applicative, risque associé corollairement à celui d'une attaque probable sur les trous de sécurité non comblés -il faut moins de 2 semaines en moyenne pour qu'un exploit naisse par ingénierie inverse d'une rustine-. Dans de telles conditions, on imagine que certains administrateurs Oracle éprouvent quelques angoisses durant ces périodes de « patch »... les seuls, avec ceux de Microsoft et de Cisco, qui n'encouragent pas franchement à abandonner la cigarette. Il y existe, à ce sujet, une analyse en français effectuée par Cortina, expliquant dans les grandes lignes la dernière CPU Oracle et surtout effectuant une mise en perspective « historique » des dernières livraisons de bouchons de sécurité (inscription obligatoire pour récupérer ce pdf de 7 pages, mais l'effort est récompensé par un article plus qu'intéressant). Kornburst, de son côté,, n'en rajoute pas : il avait déjà lâché un jet de venin relativement corrosif la semaine passée. Il mentionne discrètement, tout de même, le lien du Bugtraq relatif à la faille Litchfield et précise que des « Additional information will be added soon ». Signalons au passage que tous les « scoop » de Kornburst sont systématiquement signalés par lui-même dans le flux de la mailing list du Full Disclosure.

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
Passeport d'urgence : les Etats-Unis n'acceptent que la version électronique

Depuis le 1er juillet dernier, les Etats-Unis n'acceptent les passeports d'urgence (...)

Facebook veut répondre aux critiques sur la protection de la vie privée

Le réseau social Facebook annonce le lancement d'une nouvelle fonction permettant (...)

The Pirate Bay vendu

''Oui, c'est vrai. The Pirate Bay devrait être racheté par Global gaming factory (...)

Le Barreau de Bruxelles élit ses représentants via le web

Pour la quatrième année consécutive, l'Ordre Français des Avocats du Barreau de Bruxelles (...)

La Chine renonce pour l'instant à censurer le Web via un filtrage sur les PC

Les défenseurs des libertés individuelles se frottent les mains, au moins provisoirement (...)

Un garde arrêté par le FBI pour avoir « hacké » les systèmes d'un hôpital au Texas

Un garde accusé d'avoir réalisé des intrusions dans les systèmes d'un hôpital, aurait (...)

Protéger une marque sur internet : l'Icann n'a toujours pas statué

La 35ème réunion publique de l'Icann n'a pas résolu le problème de la protection (...)
Recherche
Sondage flash
La virtualisation des postes de travail dans votre entreprise

Conférences
22/09/2009
DECISIONNEL
De 8h30 à 11h00 à l'hôtel Prince de Galles
programme   s'inscrire
conférencestoutes les
conférences
Agenda
Du mardi 7 juillet 2009 au samedi 11 juillet 2009
Dixièmes Rencontres Mondiales du Logiciel Libre
Les 10es Rencontres Mondiales du Logiciel Libre auront lieu : * du 7 au 10 juillet à l'école Polytech'Nantes, site de la Chantrerie, * le samedi 11 juillet au bâtiment "Chantiers navals et Ateliers et Chantiers de Nantes" sur l'île de Nantes * le samedi 11 juillet à 10H00 dans l'amphithéâtre Kerneis (Université de Nantes) aura lieu la conférence de Richard Stallman
en savoir plus
agendatout
l'agenda