Oracle soupçonné de négliger des failles dans ses bases de données
Oracle a débuté l'année avec un méga patch, disponible depuis hier. Sur les 78 correctifs qu'il contenait, seuls deux concernaient sa base de données historique (Oracle Database 10g et 11g), contre 27 pour MySQL.
"Soit les solutions Oracle Database ont atteint une maturité étonnante en termes de sécurité, soit Oracle n'a pas assez de ressources pour inclure plus de correctifs dans son patch trimestriel", estime Amichai Shulman, directeur technique d'Imperva, société spécialisée dans la sécurité, et notamment dans celle des bases de données.
Selon cet expert, l'élargissement du portefeuille de produits d'Oracle provoque un "goulot d'étranglement" dans le processus de patch. Amichai Shulman souligne que le nombre de correctifs dans les patchs trimestriels est resté stable, alors que celui du nombre de produits à mettre à jour augmente.
Pour Alex Rothacker, responsable des études sur la sécurité chez TeamShatter, c'est clair : Oracle a tout simplement "jeté l'éponge" et fait désormais passer au second plan sa base de données. Il fait d'ailleurs remarquer que le nombre de correctifs pour Oracle Database a commencé à baisser peu après la l'acquisition de Sun. "Oracle a alors commencé à émettre de nombreux correctifs pour la plate-forme Fusion en dénigrant quelque peu sa base de données", confirme l'expert. Le patch d'hier comporte en effet 17 correctifs pour les produits Sun, et 11 pour Fusion Middleware.
Des vulnérabilités "graves" signalées, mais non patchées ?
Pour Oracle, il s'agit là d'une évolution normale, qui va se poursuivre. Eric Maurice, responsable et porte-parole du fournisseur sur les questions de sécurité, assure que le code d'Oracle Database a "mûri", et que beaucoup de vulnérabilités ont été éliminées, notamment grâce à une démarche de sécurisation du codage qui rappelle celle adoptée par Microsoft ("Microsoft Security Development Lifecycle").
Dire aux clients qu'Oracle Database est plus sécurisé parce que moins de vulnérabilités ont été trouvées "est juste faux", affirme Alex Rothacker : sa société, TeamShatter, continue à signaler des vulnérabilités, dans des proportions similaires, qu'Oracle corrigent de moins en moins. Alex Rothacker cite neuf failles que son équipe a rapportées à l'éditeur au cours des six à douze derniers mois, mais qui n'ont pas encore été comblées. Deux ou trois d'entre elles, affirme-t-il, sont suffisamment graves pour que son équipe les ait classées comme des "risques élevés".
C'est d'ailleurs une autre critique formulée par des experts : Oracle sous-estimerait la gravité de certaines vulnérabilités patchées. Amichai Shulman explique par exemple que la faille de Solaris résolue dans le dernier patch trimestriel du groupe écope d'une note de gravité de 7.8/10 alors que des problèmes similaires dans Oracle Database et MySQL obtiennent une note de 5.5.