Oracle : autopsie de DBMS_EXPORT_EXTENSION par Litchfield
Mais comment peut-on placer autant de bug dans une si petite fonction ? s'étonne David Litchfield, lequel pointe du doigt un exploit « zero day » publié sur le bugtraq et, comme le dit la formule consacrée, « non encore corrigée à ce jour ». Comment, surtout, s'étonne le chercheur, une série de correctifs ont-ils pu se succéder sans pour autant colmater totalement une brèche dont les premières mises en évidence remontent à avril 2004 et on couru sur près de 4 CPU successives... en vain. Suivent, chose fort instructive, les différents courriers échangés entre David Litchfield et l'équipe du « response team » . Le moins que l'on puisse dire, c'est que l'ambiance semble un peu tendue entre le hacker britannique et les services techniques d'Oracle. Situation d'autant plus regrettable que l'équipe ne NGSS est de loin la plus efficace en terme de « chasse au bug » dans la sphère des SGBD en général. Plus le climat se détériore, plus les mots aigres-doux fusent de part et d'autres. Certains même, en arrivent à critiquer les frères Litchfield, en les accusant de « passer leur temps à chasser les failles, pour n'arriver à ne plus faire que çà ». Comment appelle-t-on un expert en sécurité dont la principale préoccupation consisterait à ne surtout pas rechercher les vulnérabilités ? quelque chose entre Gardien de nuit et Directeur Marketing ? Il est peu probable, de toute manière, que la famille Litchfield se laisse impressionner. Si cela devait arriver, ce serait une véritable catastrophe en termes de sécurité : Seul Oracle -et ses confrères du milieu, Microsoft y compris- reprendraient leur tendance naturelle à « prendre le temps nécessaire » pour colmater les inconsistances, tandis que la recherche de vulnérabilités glisserait peu à peu de l'officiel à l'underground, de l'underground au gris, du gris au mafieux.
