Oracle 9iAs présente une faille sécurité: ‘patch’ officiel

Une faille importante a été découverte dans le composant «Web cache» d’Oracle 9iAS. En cas de malveillance, elle pourrait permettre à un attaquant de compromettre l’intégrité du serveur.

Annoncée ce 8 Avril, cette faille de type «heap overflow» pourrait permettre d’exécuter à distance du code arbitraire et donc, potentiellement, de prendre la main sur la machine qui présente une version vulnérable du composant «web cache» du serveur Oracle. Le plus inquiétant est que cette vulnérabilité touche l’ensemble des plates-formes qui peuvent accueillir ce serveur de bases de données. Et à noter que toute installation par défaut d’Oracle inclut ce module «web cache». L’exploitation de cette faille est relativement simple. Elle peut facilement être automatisée et déclinée pour toutes les plates-formes. Il n’est donc pas exclu de voir arriver sur la toile un ver ayant la capacité d’attaquer les serveurs Oracle. Bref, il est fortement recommandé d’appliquer le correctif correspondant. L’alerte sur le site de Oracle Aurélien Cabezon, Vulnerabilite.com (c)