Oracle veut mieux informer sur ses correctifs
La série de correctifs diffusée par Oracle mardi 17 octobre prochain aura des airs de première. L'éditeur va en effet lui appliquer un ensemble de nouvelles mesures destinées à rendre ses rustines plus lisibles par les administrateurs système. Les vulnérabilités concernées par les correctifs diffusés par Oracle seront notées selon le système CVSS (Common Vulnerability Scoring System), soutenu notamment par Cisco et IBM. En outre, l'éditeur va fournir un descriptif des failles corrigées et isolera clairement dans une liste spécifique les failles susceptibles d'être exploitées par un pirate distant, y compris s'il ne dispose d'aucun accès autorisé au serveur.
Darius Wiles, directeur d'Oracle Security Alerts, explique vouloir ainsi répondre aux attentes des utilisateurs : « nos clients nous demandent désormais une information mieux formatée. Ils veulent une évaluation objective de ce qui est le plus important. »
Jusqu'alors, l'évaluation de l'importance d'un correctif proposé par Oracle se faisait par le truchement d'une matrice d'interprétation scindant les risques en trois catégories.