Correctifs Oracle, soupirs de soulagement et de lamentation
La « CPU » trimestrielle d'Oracle tant attendue est arrivée... 39 entrées dans la liste des bulletins d'alerte, dont une part non négligeable (14) concernant la base de données. Une série de rustines qui est publiée dans un climat sinon délétère, du moins sérieusement tendu. La semaine passée, Alexander Kornburst, de Red Database Security, révélait une « divulgation de faille totalement incontrôlée » émise... par Oracle. Une dizaine de jours auparavant, l'un des frères Litchfield recevait une volée de bois vert de la part d'un factotum de Larry Ellison, sur l'éternel couplet des « chercheurs irresponsables osant détailler certaines vulnérabilités avant qu'Oracle ne publie le moindre correctif ». Sans préciser que certaines de ces failles sont connues depuis plusieurs mois. Et l'on reparle, au sein d'un petit cénacle d'experts britanniques, allemands ou américains, d'une histoire de langue que l'on doit tourner 9i fois dans sa bouche avant que d'émettre certains propos. Certes, il faut effectuer un nombre impressionnant de tests de non-régression avant de publier un code de correction puis colmater une brèche dans un SGBD ou un outil de développement. Mais, toujours selon les frères Litchfield, la qualité des dernières rustines livrées semblait très moyenne, corrigeant les conséquences du problème plutôt que son origine. Entre ces « demi-patchs », ces bugs en sommeil, l'avalanche de correctifs délivrés d'un coup (39 cette nuit, 101 en janvier dernier, 82 en octobre....), les administrateurs se sentent parfois un peu otages des événements. A ceci s'ajoute l'impossibilité de tout déployer immédiatement au risque de voir fleurir des problèmes de compatibilité applicative, risque associé corollairement à celui d'une attaque probable sur les trous de sécurité non comblés -il faut moins de 2 semaines en moyenne pour qu'un exploit naisse par ingénierie inverse d'une rustine-. Dans de telles conditions, on imagine que certains administrateurs Oracle éprouvent quelques angoisses durant ces périodes de « patch »... les seuls, avec ceux de Microsoft et de Cisco, qui n'encouragent pas franchement à abandonner la cigarette. Il y existe, à ce sujet, une analyse en français effectuée par Cortina, expliquant dans les grandes lignes la dernière CPU Oracle et surtout effectuant une mise en perspective « historique » des dernières livraisons de bouchons de sécurité (inscription obligatoire pour récupérer ce pdf de 7 pages, mais l'effort est récompensé par un article plus qu'intéressant). Kornburst, de son côté,, n'en rajoute pas : il avait déjà lâché un jet de venin relativement corrosif la semaine passée. Il mentionne discrètement, tout de même, le lien du Bugtraq relatif à la faille Litchfield et précise que des « Additional information will be added soon ». Signalons au passage que tous les « scoop » de Kornburst sont systématiquement signalés par lui-même dans le flux de la mailing list du Full Disclosure.