Pour gérer vos consentements :
Categories: Sécurité

Oracle relance le débat sur le ‘full-disclosure ‘

La société Red Database Security, spécialisée dans la sécurité des bases de données Oracle, vient en effet de publier des informations relatives à 6 failles, dont 3 sont considérées à haut risque. Parmi la liste des alertes publiées sur le site de la société, il est surprenant d’ailleurs de constater que certaines failles classiques (CSS) ont plus de 720 jours.

« Le comportement d’Oracle, en ne fixant pas certains bugs critiques connus depuis longtemps (plus de 650 jours) n’est pas acceptable pour ses clients », indique Alexander Kornburst, CEO est chercheur principal de Red Database Security. Cette histoire, qui a le mérite de relancer le débat sur le ‘full-disclosure’ et les modalités de publication des vulnérabilités, ravive les tensions qui existent parfois entre les chercheurs indépendants en sécurité et les éditeurs de logiciel. Certains d’entre eux, comme Sybase ou Microsoft par exemple, ont tenté dernièrement de gagner la sympathie des chercheurs. Ainsi, la firme de Redmond a fait une présentation remarquée au dernier CanSec West où elle expliquait sa méthodologie de gestion des failles de sécurité. Oracle Unbreakable ? En ce qui concerne Oracle, non seulement la société communique maladroitement avec les chercheurs, mais elle ne propose aucun correctif pour les failles découvertes. « Nous pensons que la manière la plus efficace de protéger nos clients consiste à éviter de divulguer ou de publier le détail des failles avant qu’un patch ait été développé », a déclaré récemment la compagnie. Red Database a pourtant alerté Oracle entre juillet et septembre 2003 à propos de plusieurs failles sérieuses. Elle a ensuite lancé un ultimatum à l’éditeur, lui laissant jusqu’à la date de sortie du patch trimestriel du mois de juillet avant de publier les failles. Dans la mesure où aucune des failles n’a été corrigée dans la dernière mise à jour, Red Database a édité 6 bulletins d’alertes. « J’ai décidé de publier ces vulnérabilités car il est possible de réduire le risque en utilisant les solutions de contournement mentionnées dans les bulletins », poursuit Alexander Kornburst. Alors que Oracle semble adopter ici une stratégie de ‘sécurité par l’obscurité’, rappelons simplement que le délai moyen entre la publication d’une faille et son exploitation par un ver est actuellement de l’ordre de 10 jours. Heureusement que les cybercriminels ciblent davantage la firme de Redmond que celle de Redwood? Thierry Evangelista pour Vulnerabilite.com

Recent Posts

Legapass : comment protéger ses données privées jusque dans l’au-delà

Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…

2 jours ago

Iris, un assistant d’IA conversationnelle en langue des signes

Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…

2 jours ago

GenAI : le Royaume-Uni poursuit ses investigations sur les partenariats de Microsoft et Amazon

L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…

3 jours ago

Clients de VMware : les raisons de la colère

Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…

3 jours ago

Laurent Carlier – BNP Paribas Global Market : « L’IA permet de modéliser des relations plus complexes, mais il faut rester prudent »

La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…

3 jours ago

Open Compute Project : les datacenters partagent des bonnes pratiques pour l’environnement

OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…

4 jours ago