|
|
|
|
|
Sommaire Sécurité |
|
La politique de sécurité d'Oracle pointée du doigt |
Regroupant 36 correctifs, la dernière mise à jour de sécurité du géant relance le débat sur une politique consistant à regrouper les patchs dans des mises à niveau trimestrielles.
(20/04/2006) |
|
Oracle vient de publier une nouvelle mise à jour de sécurité pour l'ensemble de son environnement produits : ses applications métier, son serveur d'applications et sa base de données. Dévoilé le 18 avril dernier, ce CPU (pour Critical Patch Update) corrige 39 failles dont certaines ont été pourtant découvertes il y a près de six mois.
Une actualité qui relance le débat sur la politique retenue dans ce domaine par le géant, qui consiste à regrouper ses patchs dans des mises à niveau trimestrielles.
On se rappelle notamment de la faille dévoilée en janvier dernier par des experts indépendants dans la passerelle Oracle PL/SQL. Alors qu'elle avait été évoquée par plusieurs observateurs comme particulièrement dangereuse, Oracle a choisi d'attendre l'échéance de son CPU pour en proposer le correctif... Pourtant, cette faille permettait ni plus ni moins d'ouvrir une porte de derrière dans la base de l'éditeur, et de prendre le contrôle du serveur en s'arrogeant les droits d'administrateur.
"La meilleure manière de protéger nos clients consiste à éviter de divulguer le
détail du problème avant qu'un patch soit disponible", explique Oracle pour justifier sa position. Un point de vue qui s'explique par le risque d'une telle communication. "Selon une étude publiée en janvier 2006, la moitié des failles
publiées en 2005 ont été exploitées dans la semaine qui a suivi leur publication", note la société de services Cortina.
Les pirates exploite un outil de reverse engineering pour la retrouver une faille |
Dans le cas où la faille n'est pas décrite, les pirates peuvent néamoins exploiter un outil de reverse engineering pour la retrouver à partir du correctif paru. Face à cette course en avant qui s'accélère, mieux vaudrait changer son fusil d'épaule et s'inscrire comme Microsoft ou Adobe dans des démarches de communication plus réactives.
D'autant que les DSI ont besoin d'un minimum de temps pour prendre en compte les mises à niveau. "Il s'agit de sélectionner parmi les dizaines de correctifs qui sortent ceux qui concernent
l'environnement spécifique de l'entreprise, de déterminer des priorités, de tester
ces patches avant de les appliquer, parfois en horaire décalé.
Dans un environnement hétérogène, c'est une véritable gageure", estime t-on chez Cortina.
Les Critical Patch Update d'Oracle
|
Date
|
Nombre total de failles
|
Base de données
|
Serveur d'applications
|
Serveur collaboratif
|
Applications e-business
|
Janvier 2005
|
21
|
17
|
3
|
1
|
-
|
Avril 2005
|
81
|
24
|
18
|
34
|
5
|
Juillet 2005
|
47
|
12
|
12
|
6
|
17
|
Octobre 2005
|
82
|
33
|
14
|
13
|
22
|
Janvier 2006
|
101
|
37
|
17
|
20
|
27
|
Avril 2006
|
39
|
14
|
1
|
5
|
15
|
Source : Cortina, 2006
|
Malgré la mise à jour d'Oracle, il resterait à ce jour un grand nombre de failles dans les produits du groupe. C'est l'avis de Cesar Cerrudo, P-DG d'Argeniss, société spécialisée en sécurité informatique.
Le cabinet aurait relevé 5 bugs de sécurité qui n'auraient pas été corrigés par le CPU. L'éditeur aurait donc à faire des efforts en matière de réactivité.
|
|
|
|
|
|
|
|