Passer au contenu

Correction massive pour Oracle

Les bases de données et les serveurs d’applications de l’éditeur comportaient des failles dangereuses. La société de Larry Ellison vient de les combler.

La rentrée vient à peine d’avoir lieu et déjà l’éditeur propose une longue liste de devoirs à ses clients. Une vague impressionnante de correctifs, qui pourrait devenir régulière dans les prochains mois.Mardi soir, en effet, a été mise en ligne son
Alerte numéro 68. Une liste de mises en garde comme rarement la société en a publié. Ses produits phares sont concernés, en particulier les bases de
données 8i,
9i et
10g (mais pas les versions les plus récentes pour ce dernier logiciel) et les serveurs d’applications 9i et 10g.Le danger est important : ‘ Le risque d’exposition [à une attaque] d’un système non mis à jour est élevé, explique le bulletin de l’alerte. Exploiter certaines de ces
vulnérabilités demande un accès réseau mais pas de compte utilisateur valide. ‘

Des mises à jour obligatoires

Un pirate ne devrait pas éprouver trop de difficultés à prendre le contrôle d’une base de données Oracle mal protégée. Et il est impossible de se passer des correctifs ; pour l’éditeur, il n’existe pas de moyen de protéger ses
produits autrement qu’en appliquant les mises à jour.Massive, cette vague de correctifs aurait aussi dû constituer une première. Dans la presse américaine, la société de Larry Ellison avait en effet annoncé, dans le courant du mois d’août, son intention de sortir dorénavant ses mises à
jour à un rythme mensuel. Les correctifs ne devaient ainsi plus être publiés dès leur finalisation par Oracle, mais tous ensemble à une date fixe. Depuis novembre, Microsoft agit à l’identique, en ne les publiant que le
deuxième mardi de chaque mois.Mais cela ne semble pas aussi clair chez Oracle. Pour Philippe Lemaire, responsable marketing technologies de l’éditeur, ‘ Chaque fois que nous trouvons une faille, nous publions un patch. Mais aucune décision
officielle n’a été prise concernant une éventuelle mensualisation. ‘
Pour sa politique de sécurité, Oracle fait pour linstant le choix du flou.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Ludovic Nachury