Fiabilité et sécurité sont les leitmotiv mis en avant par Oracle concernant sa base de données Oracle 11g fraîchement sortie et conçue pour le Grid Computing. Si la majorité des observateurs louent les efforts fournis à ce niveau par l'éditeur américain, une voix non pas réellement discordante mais un tantinet gênante introduit un léger doute dans cette belle mécanique.
Se confiant à nos confrères de PCWorld en marge de la conférence sur la sécurité Hack In The Box 2007 ( HAITB ) à laquelle il participe actuellement, Alexander Kornbrust, le PDG de Red Database Security, a en effet fait part de la découverte de plusieurs failles affectant Oracle 11g et laissant le système vulnérable à des attaques pirates perpétrées pour voler des données. Kornbrust semble d'autant plus consterné que pour ce spécialiste de la question, les progrès d' Oracle en matière de sécurité sont manifestes mais ont été plombés par des erreurs stupides de programmation et de déclarer : " Oracle doit organiser des formations pour sa propre équipe de développeurs qui auraient dû normalement éviter ces erreurs basiques. "
Après examen minutieux du logiciel, Kornbust a découvert plusieurs vulnérabilités pouvant être exploitées pour des attaques par injection SQL afin d'exécuter du code malicieux. Autre trouvaille, le moyen de manipuler la fonctionnalité d'audit de 11g et ainsi porter un coup fatal aux efforts de traçabilité de l'entreprise.
Kornbust qui escompte discuter de quelques-unes de ses découvertes dans le cadre du HAITB, a toutefois précisé qu'il ne serait gère prolixe en n'entrant pas outre mesure dans les détails, laissant donc le temps nécessaire à Oracle pour rectifier le tir en comblant les dites vulnérabilités. Néanmoins, Kornbust promet d'aller relativement loin en faisant notamment la démonstration d'une méthode de contournement d' Oracle Database Vault qui permet de restreindre les accès administrateurs et responsables, implémenter des contrôles d'accès complexes ou encore contrôler l'utilisation de commandes SQL.
L'élaboration et l'application d'un patch de sécurité pour une base Oracle est toujours une opération délicate et coûteuse en temps.
Flux Rss
Version PDF
Commenter 
La base de données de dernière génération d'Oracle souffrent de vulnérabilités que son découvreur impute à des erreurs stupides de programmation. 
