Oracle publie accidentellement les détails d'une faille dans son SGBD

Oracle a semble-t-il involontairement publié des détails sur une vulnérabilité dans sa base de données, ainsi que des exemples de code qui pourraient être utilisés pour exploiter la faille. Les détails ont été publiés jeudi dernier par la firme sur son site de support client, Metalink.

L'erreur a été mise en lumière lundi 10 avril par un chercheur en sécurité de la société allemande Red-Database-Secrity, Alexander Kornbrust, sur la liste de diffusion Full Disclosure. Oracle avait retiré l'information litigieuse vendredi après avoir été prévenu en avance des risques de sécurité associés aux informations publiées la veille sur Metalink.

Oracle prévoit de résoudre la faille de sécurité dans le cadre d'un prochain jeu de correctif trimestriels, a déclaré un porte-parole de la société lundi 10 avril. Le prochain correctif est attendu le 18 avril. Mais pour Kornbrust, il ne devrait pas traiter le problème mis en lumière la semaine passée.

Il est à noter, que pour tirer parti de la faille, il faut déjà posséder un compte sur la base Oracle, ce qui limite les risques d'attaque au travers du web. En revanche un utilisateur authentifié, ou un pirate détournant un compte existant, pourrait escalader son statut, pour prendre le contrôle de la base. Une série de palliatifs est publiée par Kornburst sur son site web à l'adresse : http://www.red-database-security.com/advisory/oracle_modify_data_via_views.html.

source : le monde informatique.