Solutions

Incassable, Oracle ?

Par Jerome Saiz, le 16 jan 2002 à 18:18:00.

Solutions

En affirmant, en pleine période de frénésie sécuritaire, que sa base de données est incassable, Oracle a marqué les esprits. Mais comme la plupart des campagnes de publicité, celle-ci ne repose évidemment sur aucune vérité technologique. Le mois prochain, un chercheur britannique dévoilera une série de failles critiques découvertes dans ce logiciel censé être incassable.

Le britannique David Litchfield avait déjà découvert, le mois dernier, un dépassement de mémoire tampon dans le code d'Oracle Server. A l'époque, la présence d'une faille aussi triviale ne laissait rien présager de bon pour Oracle quant à la suite des recherches du développeur anglais. Cela est confirmé aujourd'hui, par un article de notre confrère SecurityFocus.com.
David Litchfield s'apprêterait à dévoiler une série de failles sérieuses affligeant la base de données d'Oracle. Il aurait fait ces découvertes à l'automne dernier, en travaillant au développement, justement, d'un scanner de vulnérabilité pour les bases de données. Prévenu, l'éditeur se serait engagé à produire un correctif pour le mois de février 2002, précisément avant la conférence durant laquelle David Litchfield rendra ses découvertes publiques. La plus critique d'entre elles permettrait à un attaquant d'intercepter les communications entre les différents composants de la suite d'Oracle, et de passer ainsi des commandes privilégiées sur le serveur (en tant que SYSTEM sur les plateformes Microsoft, et en tant qu'utilisateur ORACLE sur Unix).
Cependant, si la stupidité de la campagne de pub ne fait aucun doute, Oracle ne s'en sort tout de même pas si mal. A condition quil publie bien les correctifs en temps voulu, léditeur fera preuve d'une réactivité hors du commun pour un acteur majeur, et d'une véritable volonté d'améliorer la sécurité de ses produits. Deux mois pour une série de correctifs majeurs, voilà qui ne peut que rassurer ses clients. Et ça, au moins, ce ne sont pas des paroles en l'air.
Source : SecurityFocus

Un e-casse en Or. (28 août 2002)
Oracle 9i encore cassé. (20 fév 2003)
Une faille critique pour Oracle 11i. (14 juin 2004)
Une nouvelle faille pour Oracle. (01 mai 2003)

Cartes blanches

IAM : dépenser moins pour gagner plus Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.	Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Les Assises de la Sécurité 2008 Les Interviews Vidéo Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres

Solutions

Incassable, Oracle ?

A voir aussi

Cartes blanches

espace partenaires

Livres Blancs

Guides