Oracle : une faille critique non-corrigée depuis 4 ans
En faisant remonter à Oracle dès 2008 une vulnérabilité affectant ses bases de données, le développeur Joxean Koret pensait bien faire. Mais depuis ce temps, la situation a pour le moins traîné en longueur jusqu'à la parution du dernier patch de sécurité d'avril 2012 dans lequel l'éditeur distingue ce dernier en tant que "security-in-depth contributor".
Une vulnérabilité identifiée et réelle mais trop risquée pour les clients
Après avoir reçu un e-mail d'Oracle l'informant que la vulnérabilité qu'il avait trouvée "avait été corrigée pour les prochaines versions de sa base de données", Joxean Koret indique avoir questionné l'éditeur pour savoir comment les utilisateurs auront accès au correctif, (par exemple via une mise à jour ou par le biais d'une prochaine version de la base de données).
Une question à laquelle Oracle a répondu de façon pour le moins surprenante : "le correctif est très complexe et extrêmement risqué en termes de rétrocompatibilité. Il doit être appliqué à une partie très sensible de notre code où les régressions posent un problème. Les clients nous ont demandés de ne pas inclure ce correctif dans notre patch de sécurité critique".
Et Oracle de poursuivre : "Dans l'intérêt de nos clients, nous ne pouvons pas fournir des détails sur les versions qui sont affectées par les failles mais les futures versions corrigeront le problème". Une situation ubuesque dans laquelle Oracle reconnaît donc une vulnérabilité dans ses bases (10g, 11g et antérieures) mais met un point d'honneur à ne pas la corriger. Alors même que son exploitation permet de mettre en place des attaques sérieuses de type MiTM (Man-in-The-Middle) - comme du sniffing ou bien de l'injection de code malveillant.