Oracle a publié les détails d'une faille affectant son SGBD. Problème, cette faille n'est toujours pas comblée et les détails divulgués n'auraient jamais dû l'être.
Sur son site Metalink, dédié au support client, Oracle a en effet publié jeudi dernier les détails d'une faille affectant son SGBD, avec en sus un exemple précis expliquant comment exploiter cette vulnérabilité.
C'est seulement lundi que l'affaire a été dévoilée par l'entremise d' Alexander Kornbrust, chercheur et directeur commercial de la société allemande Red-Database-Security.
L'information compromettante pour la sécurité de la SGBD, est restée en ligne du jeudi au vendredi bien que Kornbrust ait fait part au préalable à Oracle de la dangerosité d'une telle note.
La faille qui affecte les versions d' Oracle allant de la 9.2.0.0 à la 10.2.0.3 fonctionnant sous n'importe quel système, ne fera l'objet d'un correctif ( parmi d'autres ) qu'à partir du 18 avril.
Toutefois, Kornbrust qui estime que l'information est restée suffisamment longtemps en ligne pour être portée à la connaissance de pirates, fait part sur le site Web de sa société de quelques mesures pour éviter tout risque.
Heureusement pour Oracle, pour exploiter cette faille, l'utilisateur mal intentionné doit posséder un compte sur la base, ce qui limite foncièrement les attaques potentielles en les excluant du cadre du Web.
Ironie du sort, c'est la société Oracle qui s'est mise toute seule en péril, elle qui par le passé, n'a eu de cesse de critiquer l'attitude des chercheurs qui révélaient de tels trous de sécurité. Et Kornbrust d'ajouter : " Cette fois-ci, ils ne vont pas blâmer les chercheurs en sécurité ".
Pour les pirates en quête d'une faille, il suffit de consulter l'oracle.
