Failles logicielles : Oracle critiqué pour son manque de transparence

Le refus d’Oracle de donner plus de précisions sur une vulnérabilité, récemment découverte, de ses produits met en danger les utilisateurs, prévient Gartner. Selon le cabinet d’analyses, qui tire ses informations d’un entretien mené le 9 novembre 2004 avec Oracle, ce dernier a refusé de fournir plus d’informations sur les failles que son correctif de sécurité n°68 est censé colmater.

Le géant des bases de données a insisté sur le fait que son approche était cohérente avec sa politique vis-à-vis des standards. Oracle a, dans un premier temps, sorti son patch de sécurité le 31 août, puis a renouvelé son avertissement le 14 octobre alors qu’un code opérationnel d’exploitation des failles circulait sur Internet. Le correctif, auquel Oracle a attribué son plus haut degré d’importance (« Severity 1 »), concerne les applications Database Server, Application Server et Enterprise Manager.

Informer sans aider les hackers« Oracle refuse de fournir plus de détails sur les conséquences pour les utilisateurs de la non-application du patch n°68 », préviennent Neil MacDonald et Rich Mogull dans le compte-rendu de Gartner. « De plus, Oracle n’a pas indiqué si les vulnérabilités affectent les anciennes versions de ses logiciels pour lesquelles il ne fournit plus de support. Dans le pire des cas, toutes les bases de données d’Oracle pourraient être en danger. »

Tout en admettant que donner des informations détaillées pourrait aider les hackers à exploiter les failles, Gartner souligne que l’on peut très bien préciser les implications d’une absence de protection sans suggérer la façon d’exploiter ces vulnérabilités. « Nous pensons qu’Oracle commet une erreur en refusant de discuter du danger dans lequel se trouvent les utilisateurs s’ils n’appliquent pas le patch », écrit Gartner. « Les administrateurs de systèmes ne disposent pas d’informations suffisantes pour prendre leurs décisions – par exemple, quels serveurs doivent être protégés en priorité ou quel type de données est le plus vulnérable – ce qui pourrait retarder l’implémentation des correctifs. »Mise à jour ou migration

Selon Oracle, une exploitation de ces vulnérabilités pourrait ressembler à un échange SQL.Net classique et ne dépendrait pas de « mauvaises » commandes SQL.Net qui pourraient facilement être bloquées. Pour Gartner, « si Oracle donnait plus d’informations sur la nature des failles, ses clients seraient en mesure de réagir en vérifiant leurs pare-feu, leurs systèmes de prévention des intrusions et leurs firewalls applicatifs utilisant des fonctionnalités SQL.Net. »

Le cabinet d’études conseille aux sociétés utilisant une version encore supportée des logiciels concernés d’appliquer au plus vite le patch fourni par Oracle. Quant aux entreprises possédant des versions plus anciennes, telles que les versions 7.x ou 8.x, elles devraient envisager une mise à jour immédiate ou une migration vers une autre application. Le rapport conseille également aux clients d’Oracle un chiffrement au niveau des champs afin de protéger les données vis-à-vis des accès non autorisés et de consulter régulièrement les FAQ Metalink d’Oracle pour plus d’informations sur le correctif.