« Oracle minimise le risque de ses vulnérabilités, » a expliqué Alex Rothacker, directeur de la recherche sur la sécurité chez AppSec. « En conséquence, les entreprises qui se fient aux taux de vulnérabilité communiqués par Oracle pour programmer les mises à jour système peuvent être amenées à retarder de manière inappropriée l'application de certains correctifs critiques, » a-t-il expliqué. Tous les trois mois, Oracle livre des patchs, seuls ou en bundle, destinés à corriger des vulnérabilités récemment découvertes dans ses produits logiciels. L'éditeur note la gravité des vulnérabilités selon la norme Common Vulnerability Scoring System (CVSS) en cours dans l'industrie.

La préoccupation essentielle d'AppSec tourne autour de la notation unique ajoutée par Oracle dans sa grille CVSS, et nommée Partial +. Normalement, l'échelle du CVSS s'échelonne entre 1 et 10 pour rendre compte de manière globale de la gravité d'une vulnérabilité. Le score correspond lui-même à la moyenne d'un ensemble de notes qui permettent d'évaluer différents aspects de la gravité d'une vulnérabilité. Dans ces sous-évaluations, la notation du CVSS prend notamment en compte les dégâts que pourraient causer des logiciels malveillants du fait de cette vulnérabilité. Si tel logiciel malveillant, appelé « exploit informatique», ne peut endommager que l'application attaquée, alors il peut en général être affecté d'une note Partielle. Mais si l'exploit peut commettre des dommages sur le système sous-jacent, alors la vulnérabilité devrait bénéficier d'une note Complète, laquelle rend compte de davantage de facteurs de risque.

Une notation détournée

« Dans sa notation, Oracle n'utilise presque jamais l'échelle Complète, » a déclaré Alex Rothacker. « La plupart du temps, l'éditeur utilise sa propre notation Partial +, ce qui, dans les évaluations d'Oracle, équivaut à une note Partielle, » a-t-il ajouté. Dans certains cas, Oracle utilise la notation Partial + pour une vulnérabilité de la base de données, qui, selon le chercheur, équivaut à une vulnérabilité au niveau du système. « En réalité, si la base de données d'Oracle se trouve installée sur un serveur, vous n'exécuterez pas SharePoint sur le même serveur. Vous disposez d'un serveur de base de données dédié, » explique encore Alex Rothacker. Oracle reconnait que certains utilisateurs peuvent vouloir recalculer les notes CVSS si un logiciel de leur environnement récolte un Partial +. Dans un récent message publié sur un blog, Eric Maurice, patron sécurité d'Oracle, a déclaré que l'éditeur reconnaissait que certaines entreprises choisissaient de « gonfler discrètement le score de base quand celui-ci était affecté d'une note Partial+ par Oracle. » Les responsables d'Oracle n'ont pas voulu faire de commentaires à ce sujet.

Des évaluations indispensables aux entreprises

De nombreuses entreprises se fient aux évaluations CVSS afin de décider quels correctifs appliquer en priorité. En entreprise, l'application d'un patch sur un logiciel donné doit être accompagné de nombreux tests pour s'assurer que le logiciel fonctionne correctement dans son environnement une fois la mise à jour effectuée. « Il est très difficile pour une entreprise de patcher tous ses systèmes. Elle donne priorité à tel ou tel correctif, selon le niveau de gravité. Elle appliquera les patchs corrigeant les vulnérabilités vraiment les plus critiques en premier, » a encore déclaré Alex Rothacker. Selon lui, un Partial+ peut avoir un certain impact, dans le cas par exemple de deux vulnérabilités presque identiques, identifiées dans la pile réseau de la base de données d'Oracle par un chercheur de l'AppSec. A l'une des vulnérabilités, « Oracle a attribué une note de 5 dans l'échelle CVSS et pour l'autre, une note plus sévère de 7,8, toujours selon l'échelle CVSS, alors que les deux vulnérabilités différent l'une de l'autre d'un seul octet, » a expliqué le chercheur en sécurité Esteban Martinez Fayo, dans un blog. La principale différence entre les deux notes s'explique par le fait que celle de rang inférieur en terme de gravité a reçu une note Partial + tandis que l'autre a reçu une note Complète.

Crédit photo : D.R.

[[page]]

Bien sûr, AppSec a intérêt à ce que les responsables de la sécurité réévaluent les avis publiés par Oracle. La société propose un logiciel d'audit et de conformité pour vérifier la sécurité des bases de données, et propose même sa propre notation pour requalifier la gravité des vulnérabilités de la base de données d'Oracle. Mais la société connait parfaitement les vulnérabilités d'Oracle : ses chercheurs ont trouvé quatre des six vulnérabilités de la base de données d'Oracle, corrigées par le dernier patch de la dernière mise à jour.

D'autres analystes s'inquiètent des pratiques d'Oracle

AppSec n'est pas la seule à s'interroger sur la notation unique Partial+ établie par Oracle. « En créant la note Partial +, Oracle a en effet créé son propre système de mesure, » a déclaré Adrian Lane, directeur de la technologie et analyste pour la société de recherche en sécurité Securosis. L'analyste, qui a également abordé la question dans un post récent, fait remarquer que le CVSS ne fournit peut-être qu'une estimation de la gravité de la vulnérabilité, mais il sert encore de référence aux administrateurs. « En changeant la base d'évaluation du CVSS, Oracle a porté atteinte à l'unité de mesure standard, » a-t-il déclaré. Adrian Lane estime, comme Alex Rothacker, qu'une vulnérabilité qui affecte toutes les tables d'une base de données doit être considérée comme une vulnérabilité au niveau du système. « Si la vulnérabilité affecte seulement quelques tables, alors elle devrait être considérée comme une vulnérabilité partielle, mais si elle touche la base de données toute entière, un exploit pourrait perturber toute la plateforme, et devrait de ce fait être qualifié par une note Complète, » estime-t-il également.