Dans le domaine de la sécurité, le temps ne joue pas en faveur des cibles potentielles. Mais sa pression explique aussi sans doute l’erreur commise dans l’un des correctifs de sécurité édité le 18 janvier : à cause d’une simple faute de frappe, les entreprises exploitant une base de données Oracle en version 8.1.7.4 sur Solaris doivent réinstaller une version antérieure du patch. Surprise ! Cette version n’est pas datée du 18 janvier, mais du 15 février. Il s’agissait donc d’un patch déjà patché? Le correctif Oracle concerné est référencé « Patch 4751906 ». Par ailleurs, on notera qu’à ce jour, la faille DayZero révélée le 25 janvier par David Litchfield lors des derniers BlackHat n’est toujours pas corrigée. De son côté, Microsoft a invité ses clients à réinstaller une nouvelle version de son correctif MS06-007 dont l’installation à partir d’Automatic Update, Windows Update ou par l’outil WSUS ne s’effectue pas correctement en cas d’utilisation combinée avec ITMU (outil d’inventaire). En face de ces incidents, quelle stratégie adopter ? Appliquer rapidement les correctifs proposés par les différents éditeurs, en espérant qu’ils ne créent pas d’incident de production ni de régressions fonctionnelles (démarche dite « Patch and Pray ») ou attendre la stabilisation des correctifs ? en restant exposés aux exploits ?
Bruno Rasle pour Vulnerabilite.com
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…