Oracle confronté à un nouvel exploit 0day

Le par  |  4 commentaire(s) Source : Par Aurélien Cabezon pour Vulnerabilite.com

David Litchfield a publié ce mercredi les détails d’une vulnérabilité critique affectant la base de données Oracle.

David Litchfield a publié ce mercredi les détails d’une vulnérabilité critique affectant la base de données Oracle. La faille devait être corrigée dans le dernier CPU (Critical Patch Update) de l’éditeur. Face à ce manquement, Litchfield a tout simple divulgué sa découverte sans qu’un correctif ne soit disponible.


C’est lors de sa présentation aux BlackHat Federal Briefings 2006 que David Litchfield, chercheur pour la société Next-Generation Security Software, a dévoilé les détails techniques d’une vulnérabilité critique affectant le module Web Server d’Oracle. L’exploitation de la faille pourrait permettre à un individu mal intentionné de prendre le contrôle d’une base de données à l’aide de requêtes HTTP spécifiquement forgées.

Ce problème de sécurité avait été communiqué aux équipes sécurité d’Oracle bien avant cette présentation. Un correctif devait d’ailleurs être présent dans le CPU de Janvier, or Oracle n’a pas adressé cette faille critique alors que d’autres moins dangereuses l’ont été. Ce manquement est sûrement à l’origine de la présentation de David Litchfield qui a pris pour habitude d’agacer Oracle. David est à l’origine de la découverte de nombreuses vulnérabilités affectant le SGDB.

Selon David, « Oracle a manqué une occasion de corriger ce problème, j’espère qu’ils le feront maintenant ». Quant à Duncan Harris, directeur de la Q/A d’Oracle « Nous sommes toujours déçus lorsqu’un chercheur ressent le besoin de publier les détails d’une vulnérabilité avant qu’un correctif ne soit disponible », il ajoute « Ce qu’a fait David Litchfield, c’est mettre les clients d’Oracle en danger ».


Le débat du « full-disclosure » est donc une fois encore d’actualité. Mais qui de l’éditeur, partisan de la sécurité par l’obscurantisme, ou du chercheur qui publie ses trouvailles sans les précautions d’usage, est le plus dangereux '
Complément d'information
  • Oracle : le prix de HP pour Autonomy est une blague
    Près de 12 milliards de dollars pour racheter Autonomy ? Larry Ellison, patron d'Oracle, se moque de HP en affirmant que sa société avait refusé de racheter l'éditeur quelques mois auparavant, estimant sa valorisation à 6 milliards ...
  • Java : bras de fer entre Oracle et Myriad Group
    Le groupe Myriad, qui propose des optimisations Java pour les terminaux mobiles, a porté plainte contre Oracle aux Etats-Unis, accusé de chercher à lui imposer des droits de licence non reconnus et de le dénigrer auprès des ses ...

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #82377
[Mais qui de l?éditeur, partisan de la sécurité par l?obscurantisme, ou du chercheur qui publie ses trouvailles sans les précautions d?usage, est le plus dangereux ']

Réponse : les deux !
Le #82381
le probleme c'est qu'oracle sert aussi à transmettre des resultats d'examens entre labos et hopitaux...
Le #82393
Ah ok l'oracle bosse aussi dans les hopitaux quand elle n'aide pas Néo, je me demandais aussi ce qu'elle foutait entre 2 Matrix.
Le #82516
Mdr, et t'as vu il y'a eu meme une mise a jour entre les deux derniers matrix mais visiblement pas la faille de securité ...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]