pas si incassable que cela…

Oracle a finalement admis l'existence de multiples failles de sécurité dans son serveur de base de données après la révélation de 34 vulnérabilités par David Litchfield, un consultant en sécurité britannique lors de la conférence Black Hat. Dans un communiqué, la compagnie explique "que la sécurité est un sujet que nous traitons sérieusement chez Oracle. Même si nous soutenons que nos produits sont sûrs, nous faisons en sorte de toujours les améliorer". Litchfield n'est toutefois pas tendre avec la firme de Larry Ellison. Le chercheur a en effet fait part de ses découvertes à Oracle dès le mois de janvier 2004. Ce n'est qu'il y a deux mois que l'éditeur l'a informé avoir corrigé les failles. Pire, les correctifs ne sont pour l'instant pas disponibles pour les clients. Oracle est en effet sur le point d'introduire un nouveau système de gestion et de distribution de patches et a choisi d'attendre sa mise en oeuvre pour distribuer les plus récents, dont ceux qui corrigent les failles découvertes par Litchfield. Ironiquement Oracle se félicite d'avoir les produits les plus sûrs du marché et a basé sa communication sur l'incassabilité de ses logiciels (campagne "unbreakable"). Environ la moitié des failles découvertes par Litchfield portent sur le produit phare de l'éditeur, Oracle 10g. Trois d'entre elles sont uniques à ce produit. Litchfield n'en est pas à son coup d'essai, en 2002, il avait averti de l'existence d'une vulnérabilité dans SQL Server et publié quelques lignes de code pour faire la preuve de ses dires. Ce code avait ensuite été détourné pour créer le ver Slammer, l'un des vers les plus destructeurs de ces dernières années... Litchfield, qui a retenu la leçon, a décidé de ne pas publier le code qui lui a permis de tirer parti des différentes failles découvertes dans Oracle...