Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Oracle contre-attaque David Litchfield

Par Anne Sophie Parigot, secuobs.com
Le 01/02/2006


Résumé : Après la récente révélation d’une vulnérabilité dans les produits Oracle, par un chercheur anglais, l’éditeur de solutions de base de données a décidé de contre-attaquer. Le directeur d’Oracle critique la mise à disposition aux clients de la marque d’un patch créé par ce chercheur.



Depuis quelques jours, la vulnérabilité des produits Oracle et le laxisme de l’éditeur de solutions de base de données face à ces menaces pour les clients, sont mis en avant. David Litchfield, le chercheur à l’origine de la découverte de la faille, a décidé de proposer lui-même une solution, devant le peu d’intérêt d’Oracle à l’égard de ce problème.

Et voilà maintenant qu’Oracle met en garde ses utilisateurs en les gardant bien d’utiliser le patch créé par le chercheur, celui-ci pouvant, selon eux, nuire au bon fonctionnement des logiciels Oracle. David Litchfield, directeur de Next Generation Security Software Ltd à Sutton, en Angleterre, a pourtant averti Oracle des dangers d’une telle vulnérabilité, avant de proposer cette solution provisoire via une mailing list de sécurité.

BugTraq - lien

Bien qu’avertie avant sa mise à disposition, Oracle a jugé ce patch « inadapté », comme le rapporte Duncan Harris, directeur de l’éditeur, qui considère qu’elle nuira plus qu'il ne bénéficiera aux produits Oracle. « Nous savons que cela rendra plusieurs produits Oracle encore plus inefficaces qu’avec la faille », a-t-il expliqué. Et d’ajouter : « Nous avons pour habitude de traiter les problèmes en fonction de leur gravité. Nous n’avons pas réparé cette faille car, contrairement à Litchfield, nous ne pensons pas qu’elle soit sérieuse. Il y a un réel fossé entre ce dont il est persuadé et ce que nous savons être vrai. »

« N’importe qui peut accéder au serveur de base de données via Internet, sans identifiant ni mot de passe, et y effectuer des modifications », explique David Litchfield, « c’est critique. » La solution au problème étant très simple, il ne comprend donc pas pourquoi Oracle n’a toujours rien fait et a décidé « de s’en charger, puisque ça n’est pas difficile. » Assertion que Harris a de son côté contredit, affirmant qu’il s’agit au contraire d’une « faille extrêmement difficile à réparer. »

Mais il faut tout de même savoir qu’en quatre ans, Oracle a proposé différents patchs pour réparer cette faille, tous inefficaces, comme le rapporte David Litchfield.

Pour rappel, cette faille affecte un composant commun au serveur d’applications, au serveur d’applications Internet et au serveur web. Le composant en question, PLSQL permet d'« interfacer » ces différents produits avec les bases de données Oracle à la manière d'un proxy transférant les requêtes.

Dans tous les cas, si patch il doit y avoir, celui-ci ne devrait pas être disponible avant avril, toujours selon Duncan Harris, agacé par la révélation de David Litchfield, qui pourrait donner envie à des hackeurs malicieux d'exploiter cette faille.