Oracle annonce son cycle de patch trimestriel pour 2005

Suite à l’annonce d’une trentaine de vulnérabilités lors de la conférence Black-Hat en août dernier à Las Vegas, bon nombre d’entreprises ont intégré Oracle dans le spectre de projets liés à la sécurisation du système d’information. La firme de Redwood Shores qui tardait à proposer des correctifs pour ces failles de sécurité critiques s’est sentie contrainte sous la pression de ses utilisateurs à lancer un programme d’annonces de sécurité régulier. C’est Mary Ann Davidson, la RSSI d’Oracle qui s’est chargée de l’annonce. Au travers d’un e-mail envoyé sur une mailing-list d’utilisateurs, elle présente le nouveau projet baptisé « Oracle Critical Patch Update ». La première mise à jour de correctifs de sécurité aura lieu le 18 janvier prochain. Les suivantes auront pour date respective les 12 avril, 12 juillet et 18 octobre 2005. Les annonces et mises à jour porteront bien évidemment sur les bases de données mais aussi sur les autres produits phares de la firme que sont Application Server, Enterprise Manager, Collaboration Suite et e-Business Suite. Mary Ann Davidson précise que dans le cas de vulnérabilités critiques découvertes entre deux mises a jours, Oracle se chargera d’envoyer une notification d’alerte exceptionnelle par e-mail qui offrira un lien vers le patch pour téléchargement. Ces bulletins d’information réguliers permettront aux entreprises clientes de s’informer de façon proactive mais ne résoudront pas le problème essentiel. En effet, les correctifs Oracle proposés sous formes de binaires « plutôt volumineux » ont tendance a impacter de façon significative l’application et requièrent la mises en adéquations d’un grand nombre de dépendances. Ainsi la mise a jour s’apparente plus à un projet de migration qu’a une simple mise a jour de sécurité.

Source: Vulnerabilite.com