Sécurité : Oracle et un chercheur s'écharpent sur un trou de sécurité signalé en Octobre

le 31/01/2006, par Christophe Bardy, IPBX, 393 mots

Oracle et David Lichtfield, un chercheur en sécurité, continuent d'échanger des amabilités, alors que le géant des bases de données n'a toujours pas apporté de correctif à une faille décelée dans Oracle Application Server en octobre dernier. Oracle met en garde ses utilisateurs contre l'utilisation d'un correctif écrit par Lichtfield en affirmant que le patch du chercheur est susceptible de nuire au bon fonctionnement de plusieurs de ses logiciels. Le correctif a été posté par Litchfield sur la liste de diffusion BugTraq mercredi dernier. Oracle a été notifié de sa sortie, mais le juge inadéquat. Selon Duncan Harris, le patron de l'assurance-qualité du géant, "le correctif empêche le fonctionnement d'un nombre significatif de modules d'E-Business Suite". Lichtfield explique qu'Oracle a déjà produit plusieurs correctifs pour contrer la vulnérabilité qu'il a identifiée, mais aucune n'a fonctionné. La faille touche Oracle Application Server, mais aussi Oracle Internet Applications Server et Oracle HTTP Server. Elle concerne la passerelle PLSQL, qui permet à des utilisateurs web d'interagir avec des applications PLSQL sur le serveur de bases de données. Selon Lichtfield, la faille permet à un hacker d'interagir avec la base de données en contournant tous les pare-feux en place, ce qui est considéré comme une faille critique". Le chercheur explique qu'il serait trivial de produire un correctif et ne comprend pas pourquoi Oracle n'a pas bouché la faille lors de la publication la semaine passée de sa série de correctifs. Mais pour Harris, la faille en question est extrêmement difficile à combler et nécessite des tests de régression pointus. Oracle estime que dans la mesure où aucun exploit n'existe dans la nature pour aider à l'exploitation de la faille, la combler n'est pas prioritaire par rapport à d'autres failles. En cas d'apparition d'un exploit, l'éditeur pourrait de toute façon distribuer un correctif rapide, explique Harris [et tant pis pour les tests de régression, NDLA...]. Et Harris de pointer du doigt l'irresponsabilité de Lichtfield, en l'accusant implicitement de faciliter le travail de personnes mal intentionnées grâce à son code, qui pourrait servir de base à des casseurs pour produire un exploit... Rappelons que la semaine dernière, Gartner a jugé, par la voix de son analyste Rich Mogull, qu'Oracle ne pouvait plus être considéré comme un bastion de la sécurité informatique, quelque jours après la parution d'un correctif réglant 82 failles dans les produits de l'éditeur. Alors, "Unbreakable", ou "broken" ?

BroadCloud Calling se greffe à Webex Teams

Annoncée lors de l'événement Cisco BroadSoft Connections organisé à Miami du 12 au 15 novembre, l'intégration de BroadCloud Calling à Webex Teams permet à Cisco de proposer un système téléphonique PBX dans le...

le 15/11/2018, par Matthew Finnegan, IDG NS (adaptation Jean Elyan), 634 mots

Atos rachète Unify (ex Siemens EC) et renforce ses liens avec Siemens

Atos renforce son alliance avec le groupe Siemens, qui se restructure violemment depuis plusieurs années. Après avoir obtenu l'externalisation des services informatiques du groupe industriel, la SSII française...

le 04/11/2015, par Didier Barathon, 404 mots

SIP Trunking : le marché des SBC atteint 271 millions de dollars en...

Selon la dernière étude annuelle du cabinet Infonetics, Audiocodes est de loin le n°1 du marché des SBC. Porté non seulement par la diffusion de l'IP mais aussi par de nouvelles technologies comme le WebRTC....

le 01/04/2015, par Didier Barathon, 336 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...