Sur les 59 patchs annoncés dans le cadre de la campagne trimestrielle Critical Patch Updates d'Oracle, 13 concernent des problèmes de sécurité fragilisant la suite de base de données maison et 28 pour des vulnérabilités exploitables à distance et considérées d'une importance capitale par l'éditeur. : elles permettent en effet de prendre le contrôle des systèmes sans avoir besoin de s'identifier par un nom d'utilisateur ou un mot de passe. « Trois de ces patchs sont essentiels car ils portent sur des défauts particulièrement dangereux dans toutes les versions database server d'Oracle, » a déclaré Josh Shaul, directeur de la gestion produits chez Application Security, un spécialiste en solutions de sécurité basé à New York. L'une des failles, qui porte le numéro CVE-2010-0902, permet à tout utilisateur authentifié au sein d'une base de données Oracle de disposer d'un accès administrateur total. «Ils peuvent consulter la base de données, la modifier ou arrêter le serveur de base de données. En un mot, ils disposent de toutes les autorisations administrateur de la base de données, » a expliqué Josh Shaul.
Des failles critiques pour les entreprises
Les deux autres failles critiques affectant la base de données pourrait être exploitées sans que l'utilisateur ait même besoin d'être connecté à la celle-ci. Elles permettraient notamment à un attaquant de déclencher un déni de service (DoS) contre la base pour la rendre inaccessible aux utilisateurs légitimes. «Ce sont trois vulnérabilités très dangereuses pouvant mettre à néant la base de données, » a encore déclaré le responsable d'Application Security. « L'indice établi par Oracle pour classer les failles par niveau de gravité ne reflète pas la véritable nature de la menace, » a t-il commenté.
[[page]]
La suite de produits Solaris acquise par Oracle avec le rachat de Sun Microsystems est concernée par 21 correctifs dans le total de ceux qui ont été livrés, dont 7 sont exploitables à distance. Dix-sept des correctifs réparent des failles dans E-Business Suite et Supply Chain Management (SCM), dans la suite JD Edwards de PeopleSoft. Une autre série corrige 7 failles dans les produits Fusion Middleware d'Oracle, tandis que l'un des correctifs colmate un trou dans Enterprise Manager Grid Control.
Mise en oeuvre prudente
Comparativement aux livraisons précédentes, le nombre de correctifs appliqués cette fois-ci est globalement assez faible. En Janvier 2006 par exemple, Oracle avait publié 82 correctifs après une mise à jour effectuée en octobre qui réparait déjà 101 bugs. Dans le passé, les administrateurs d'Oracle ont été notoirement lents à déployer des correctifs de sécurité, en particulier dans les environnements de base de données. Des enquêtes ont montré que les environnements sous Oracle attendent souvent plusieurs mois avant de disposer de correctifs de sécurité, même dans les cas où les failles peuvent représenter un danger manifeste. Cet immobilisme découle en grande partie de la préoccupation concernant la mise en oeuvre de ces correctifs, le délai nécessaire pour tester et déployer ces patchs entrainant une perturbation redoutée de la production. « Depuis peu les entreprises savent de mieux en mieux réagir pour effectuer le déploiement des correctifs dans les base de données Oracle, aidées notamment par des outils qui facilitent la gestion de l'application des patchs, » a déclaré Josh Shaul.
Crédit photo : D.R.