Sécurité : Oracle et un chercheur s'écharpent sur un trou de sécurité signalé en octobre
Oracle et David Lichtfield, un chercheur en sécurité, continuent d'échanger des amabilités, alors que le géant des bases de données n'a toujours pas apporté de correctif à une faille décelée dans Oracle Application Server en octobre dernier. Oracle met en garde ses utilisateurs contre l'utilisation d'un correctif écrit par Lichtfield en affirmant que le patch du chercheur est susceptible de nuire au bon fonctionnement de plusieurs de ses logiciels. Le correctif a été posté par Litchfield sur la liste de diffusion BugTraq mercredi dernier.
Oracle a été notifié de sa sortie, mais le juge inadéquat. Selon Duncan Harris, le patron de l'assurance-qualité du géant, "le correctif empêche le fonctionnement d'un nombre significatif de modules d'E-Business Suite".
Lichtfield explique qu'Oracle a déjà produit plusieurs correctifs pour contrer la vulnérabilité qu'il a identifiée, mais aucune n'a fonctionné. La faille touche Oracle Application Server, mais aussi Oracle Internet Applications Server et Oracle HTTP Server. Elle concerne la passerelle PLSQL, qui permet à des utilisateurs web d'interagir avec des applications PLSQL sur le serveur de bases de données. Selon Lichtfield, la faille permet à un hacker d'interagir avec la base de données en contournant tous les pare-feux en place, ce qui est considéré comme une faille critique". Le chercheur explique qu'il serait trivial de produire un correctif et ne comprend pas pourquoi Oracle n'a pas bouché la faille lors de la publication la semaine passée de sa série de correctifs.
Mais pour Harris, la faille en question est extrêmement difficile à combler et nécessite des tests de régression pointus. Oracle estime que dans la mesure où aucun exploit n'existe dans la nature pour aider à l'exploitation de la faille, la combler n'est pas prioritaire par rapport à d'autres failles. En cas d'apparition d'un exploit, l'éditeur pourrait de toute façon distribuer un correctif rapide, explique Harris [et tant pis pour les tests de régression, NDLA...]. Et Harris de pointer du doigt l'irresponsabilité de Lichtfield, en l'accusant implicitement de faciliter le travail de personnes mal intentionnées grâce à son code, qui pourrait servir de base à des casseurs pour produire un exploit...
Rappelons que la semaine dernière, Gartner a jugé, par la voix de son analyste Rich Mogull, qu'Oracle ne pouvait plus être considéré comme un bastion de la sécurité informatique, quelque jours après la parution d'un correctif réglant 82 failles dans les produits de l'éditeur. Alors, "Unbreakable", ou "broken" ?