Sybase vient de parvenir à décourager l'éditeur britannique Next Generation Security Software (NGS) de publier les détails de huit failles de sécurité découvertes dans son logiciel Adaptive Server Enterprise (ASE) 12.5.3, en le menaçant de poursuites judiciaires.
NGS s'est pour l'heure contenté de dévoiler l'existence de ces failles tandis que Sybase a publié les correctifs nécessaires le mois dernier. Ces étapes passées, le britannique estimait pouvoir diffuser les détails des huit failles identifiées. Que nenni : pour Sybase, « la recherche de bugs de sécurité relève du test et de la mesure de performances de la base de données », explique David Litchfield, l'un des fondeurs de NGS ; la licence développeur d'ASE interdit la diffusion des informations de test et de mesure de performance d'ASE sans l'autorisation de Sybase.
Dans un communiqué, l'éditeur américain explique « qu'il ne croit pas que la publication de détails hautement spécifiques […] soit bénéfique à ses clients. »
Originale mais pas totalement inédite, la réaction de Sybase pose une nouvelle fois la question de la liberté de recherches de failles et leur divulgation dans l'intérêt des utilisateurs.