|
|
Résumé : Après la récente révélation d’une vulnérabilité dans les produits Oracle, par un chercheur anglais, l’éditeur de solutions de base de données a décidé de contre-attaquer. Le directeur d’Oracle critique la mise à disposition aux clients de la marque d’un patch créé par ce chercheur.
- Lire l'article
Depuis quelques jours, la vulnérabilité des produits Oracle et le laxisme de l’éditeur de solutions de base de données face à ces menaces pour les clients, sont mis en avant. David Litchfield, le chercheur à l’origine de la découverte de la faille, a décidé de proposer lui-même une solution, devant le peu d’intérêt d’Oracle à l’égard de ce problème.
Et voilà maintenant qu’Oracle met en garde ses utilisateurs en les gardant bien d’utiliser le patch créé par le chercheur, celui-ci pouvant, selon eux, nuire au bon fonctionnement des logiciels Oracle. David Litchfield, directeur de Next Generation Security Software Ltd à Sutton, en Angleterre, a pourtant averti Oracle des dangers d’une telle vulnérabilité, avant de proposer cette solution provisoire via une mailing list de sécurité.
BugTraq - lien
Bien qu’avertie avant sa mise à disposition, Oracle a jugé ce patch « inadapté », comme le rapporte Duncan Harris, directeur de l’éditeur, qui considère qu’elle nuira plus qu'il ne bénéficiera aux produits Oracle. « Nous savons que cela rendra plusieurs produits Oracle encore plus inefficaces qu’avec la faille », a-t-il expliqué. Et d’ajouter : « Nous avons pour habitude de traiter les problèmes en fonction de leur gravité. Nous n’avons pas réparé cette faille car, contrairement à Litchfield, nous ne pensons pas qu’elle soit sérieuse. Il y a un réel fossé entre ce dont il est persuadé et ce que nous savons être vrai. »
« N’importe qui peut accéder au serveur de base de données via Internet, sans identifiant ni mot de passe, et y effectuer des modifications », explique David Litchfield, « c’est critique. » La solution au problème étant très simple, il ne comprend donc pas pourquoi Oracle n’a toujours rien fait et a décidé « de s’en charger, puisque ça n’est pas difficile. » Assertion que Harris a de son côté contredit, affirmant qu’il s’agit au contraire d’une « faille extrêmement difficile à réparer. »
Mais il faut tout de même savoir qu’en quatre ans, Oracle a proposé différents patchs pour réparer cette faille, tous inefficaces, comme le rapporte David Litchfield.
Pour rappel, cette faille affecte un composant commun au serveur d’applications, au serveur d’applications Internet et au serveur web. Le composant en question, PLSQL permet d'« interfacer » ces différents produits avec les bases de données Oracle à la manière d'un proxy transférant les requêtes.
Dans tous les cas, si patch il doit y avoir, celui-ci ne devrait pas être disponible avant avril, toujours selon Duncan Harris, agacé par la révélation de David Litchfield, qui pourrait donner envie à des hackeurs malicieux d'exploiter cette faille.
- Article suivant : [Dossier Sécurité Bluetooth - partie 1] Introduction aux technologies Bluetooth
- Article précédent : Vente de codes malicieux : la ruée vers "leurre".
- Article suivant dans la catégorie Failles : [Infratech - vulnérabilité] Déni de Service sur les téléphones mobiles Sony/Ericsson
- Article précédent dans la catégorie Failles : Base de données Oracle : Faille hautement critique non patchée depuis 3 mois
| Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
| Mini-Tagwall de l'annuaire video : | | | | curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
| Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
| Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|
