Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Oracle : la barre des cent patches de sécurité est atteinte

auteur de l'article Aurélien Cabezon , dans la rubrique Menaces

Commentaires Commentaires fermés sur Oracle : la barre des cent patches de sécurité est atteinte

C’est fait. Dans son premier CPU de l’année 2006, Oracle dépasse la barre des patches de sécurité ! Cette mise à jour incontournable va donner du fil à retordre et des cheveux blancs aux DBA du monde entier…


La société Oracle vient de publier son premier CPU (Critical Patches Update) de l’année. C’est le cinquième depuis que l’éditeur californien a décidé de regrouper la publication de ses correctifs de sécurité par trimestre. Cette édition comporte plus de cent correctifs, alors que celle de janvier 2004 n’en comptait que 21. Les deux bugs qui impactaient la toute récente technique de chiffrement livrée avec la version 10gR2 sont corrigés à cette occasion.

Oracle, the Unbreakable ?

Après s’être attribué le qualificatif de  » The Unbreakable « , Oracle a dû répondre depuis 2004 aux critiques de plus en plus nombreuses portées à l’encontre de son manque de réactivité face aux failles de sécurité et au manque de clarté de ses bulletins d’alerte. Mais la diffusion, en janvier, avril, juillet puis octobre 2005, de lots de plusieurs dizaines de correctifs de sécurité ne semblent pas avoir diminué la pression. Ainsi Alexander Kornburst, chercheur principal de Red Database Security, déclarait en juillet 2005 :  » Le comportement d’Oracle, en ne fixant pas certains bugs critiques connus depuis plus de 650 jours n’est pas acceptable pour ses clients « .

David Litchfield, expert sécurité chez NGS Software, s’était montré également très acerbe. En octobre 2005, il déclarait à eWeek que plusieurs patchs proposés par l’éditeur ne faisaient que corriger certaines exploitations de failles a et non les failles elles-mêmes a, une approche selon lui dangereuse.

Tic-tac, tic-tac…

En matière de patches de sécurité, le temps est le pire ennemi de l’administrateur et le meilleur ami du pirate informatique… Désormais, grâce aux outils de reverse engineering les plus récents, il suffit aux pirates d’attendre patiemment la publication des correctifs pour être informés des failles correspondantes et de concevoir la mécanique qui permettra de l’exploiter. Ainsi, à peine deux jours après le CPU d’octobre 2005 , un malware exploitant l’une des 82 failles était déjà signalé !

A compter de la publication du CPU, la difficulté consiste désormais pour les administrateurs, sous la pression du temps qui s’écoule, à sélectionner parmi cette centaine de correctifs ceux qui concernent leur environnement spécifique, de déterminer des priorités et de tester ces patches avant de les appliquer.

Car rares sont les administrateurs qui s’aventurent aujourd’hui à installer les patches de sécurité Oracle sans les avoir soigneusement testés au préalable dans un environnement ad hoc. Dans un article signé Bill Brenner , Nirnay Patil, administrateur des bases de données pour American Tower, déclare qu’une part importante des semaines nécessaires à l’application des correctifs est monopolisée par les pré-test, indispensables à ses yeux :  » Nous analysons le document qui accompagne le CPU avec beaucoup, beaucoup de précautions. Nous exigeons de savoir quels éléments entrent en jeu et ne sélectionnons que les patches concernant notre plateforme « . L’étape suivante a et peut être la plus importante a consiste en une validation rigoureuse ;  » En production, même si le correctif n’a impacté qu’un élément mineur, vous devez être très prudent. Chez nous, avant d’être accepté, chaque correctif doit être approuvé au niveau technique, business puis management ». Le dernier CPU comprend d’ailleurs la mention explicite  » It is imperative for customers to test and analyze the recommendations before implementing in production « .

Une amélioration notable

Plusieurs signes encourageants méritent d’être notés. Ainsi, il est cette fois-ci possible d’identifier les périmètres affectés par chaque vulnérabilité et correctif correspondant, grâce à une dénomination plus explicite des packages, programmes et commandes . Et la liste des chercheurs crédités pour la signalisation des vulnérabilités couvertes s’est enrichie de nouveaux noms, signe très positif pour l’avenir. Leurs efforts s’ajoutent ceux de l’équipe de  » Hackers  » dont dispose l’éditeur. Mary Ann Davidson, Chief Security Officer, y fait allusion dans une interview mise en ligne sur le site Web d’Oracle. On y apprend également qu’elle dispose du pouvoir de bloquer la sortie d’un produit si elle estime insuffisante sa résistance aux attaques.

Les prochaines CPU sont prévues les 18 juillet 2006, 17 octobre 2006 et 16 janvier 2007.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.