Oracle met accidentellement en ligne des détails sur une faille…

Un porte-parole du géant des bases de données a implicitement reconnu l’erreur. Des informations ont été disponibles sur le portail d’Oracle durant plusieurs heures ce jeudi 6 avril, concernant une vulnérabilité, non encore corrigée et touchant au logiciel gestionnaire de bases de données.

Une note détaillée a été éditée et mise en ligne, jeudi 6 avril, sur le portail d’assistance aux clients, Metalink. Oracle a retiré l’information dès vendredi, après avoir été averti via la liste de diffusion Full Disclosure du risque de sécurité associé à la publication. Oracle s’est piégé lui-même. L’éditeur, qui critique régulièrement les chercheurs en sécurité qu’il accuse de publier les informations sur les failles et d’être à l’origine des menaces, ne doit pour une fois qu’à lui-même d’avoir révélé une faille dans sa base de données, et doit à la communauté des chercheurs de l’avoir averti de son erreur? Pour exploiter la faille, les attaquants devront justifier d’un compte ouvert sur la base de données Oracle, ce qui limite la menace et la rend en particulier inexploitable via le Web. De plus, nécessitant de créer des requêtes spécifiques, l’utilisateur devrait pouvoir seulement lire les informations, mais pas les modifier. « Oracle est conscient de l’information qui a été postée sur Full Disclosure concernant une vulnérabilité dans Oracle Database 9i et 10g. Nous planifions de fournir à nos clients un ‘patch’ qui corrige cette vulnérabilité dans notre prochaine mise à jour corrective trimestrielle. » Le correctif à cette faille de sécurité – qui concerne les versions 9.2.0.0 à 10.2.0.3 sur tous les systèmes d’exploitation – devrait donc être publié le 18 avril.