Face à cette lacune, Litchfield a tout simplement divulgué sa découverte sans qu’un correctif ne soit encore disponible.
C’est lors de sa présentation aux BlackHat Federal Briefings 2006 que David Litchfield, qui est chercheur auprès de la société Next-Generation Security Software, a dévoilé les détails techniques de cette vulnérabilité. Elle affecte le module Web Server d’Oracle. L’exploitation de la faille pourrait permettre à un individu mal intentionné de prendre le contrôle d’une base de données à l’aide de requêtes HTTP spécifiquement forgées. Ce trou de sécurité avait été communiqué aux équipes compétentes d’Oracle bien avant cette présentation. Un correctif était attendu ce mois de Janvier. Or Oracle n’a pas réparé cette faille critique alors que d’autres moins dangereuses l’ont été. Ce manquement est vraisemblablement à l’origine de la présentation de David Litchfield qui n’en est pas à son premier motif d’agacement chez Oracle. Il est à l’origine de la découverte de nombreuses autres vulnérabilités affectant le célèbre SGBD. Selon D. Litchfield, «Oracle a manqué une occasion de corriger ce problème. J’espère qu’ils vont le faire maintenant». Quant à Duncan Harris, directeur de la Q/A d’Oracle, il a renchéri: «Nous sommes toujours déçus lorsqu’un chercheur ressent le besoin de publier les détails d’une vulnérabilité avant qu’un correctif ne soit disponible». Il a ajouté: «Ce qu’a fait David Litchfield, c’est mettre les clients d’Oracle en danger». Le débat du «full-disclosure» est donc une nouvelle fois étalé au grand jour. Qui de l’éditeur, partisan d’une forme de sécurité obscurantiste, ou du chercheur qui publie ses trouvailles après avertissement, est le plus dangereux ? Aurélien Cabezon pour Vulnerabilite.com
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…