Le britannique David Litchfield avait déjà découvert, le mois dernier, un dépassement de mémoire tampon dans le code d’Oracle Server. A l’époque, la présence d’une faille aussi triviale ne laissait rien présager de bon pour Oracle quant à la suite des recherches du développeur anglais. Cela est confirmé aujourd’hui, par un article de notre confrère SecurityFocus.com .David Litchfield s’apprêterait à dévoiler une série de failles sérieuses affligeant la base de données d’Oracle. Il aurait fait ces découvertes à l’automne dernier, en travaillant au développement, justement, d’un scanner de vulnérabilité pour les bases de données. Prévenu, l’éditeur se serait engagé à produire un correctif pour le mois de février 2002, précisément avant la conférence durant laquelle David Litchfield rendra ses découvertes publiques. La plus critique d’entre elles permettrait à un attaquant d’intercepter les communications entre les différents composants de la suite d’Oracle, et de passer ainsi des commandes privilégiées sur le serveur (en tant que SYSTEM sur les plateformes Microsoft, et en tant qu’utilisateur ORACLE sur Unix).Cependant, si la stupidité de la campagne de pub ne fait aucun doute, Oracle ne s’en sort tout de même pas si mal. A condition qu’il publie bien les correctifs en temps voulu, l’éditeur fera preuve d’une réactivité hors du commun pour un acteur majeur, et d’une véritable volonté d’améliorer la sécurité de ses produits. Deux mois pour une série de correctifs majeurs, voilà qui ne peut que rassurer ses clients. Et ça, au moins, ce ne sont pas des paroles en l’air.Source : SecurityFocus