Oracle entre gaffes critiques, 0day et nouvelles fonctions de sécurité

Par Ludovic Blin, secuobs.com
Le 02/05/2006

---

Résumé : L’éditeur de logiciel, après avoir révélé par inadvertance un exploit 0day pour sa base de données, annonce des nouvelles fonctions de backup encrypté et de restrictions de droits utilisateur. - Lire l'article



L’éditeur américain Oracle, spécialiste des bases de données dont les technologie sont au cours d’une proportion importante d’infrastructures et de fichiers critiques dans de nombreuses entreprises et administrations, a parfois des relations houleuses avec la communauté des chercheurs en sécurité.

Ne se privant pas de critiquer certains chercheurs pour avoir révélé des détails sur des vulnérabilités un peu trop tôt, la société avait été prise au début du mois à son propre jeu, l’allemand Alexander Kornburst de la société Red Database Security révélant la mise en ligne, sur le site d’Oracle destiné au support client, d’un exploit pour une faille encore non corrigée.

Ce dernier a été retiré peu après. Il s’agit d’un problème d’élévation de privilège permettant à des utilisateurs doté uniquement du privilège SELECT d’opérer des insertions/modifications dans la base ( lien ).

Par ailleurs, un code exploitant une faille encore non corrigée a été rendu public sur la liste de diffusion bugtraq. Il permet de donner les droits DBA à n’importe quel utilisateur. Le récent patch d’Oracle, corrigeant plusieurs dizaines de failles, corrige certains problèmes similaires à celui-ci mais pas ce cas particulier.

L’éditeur a pour sa part annoncé la sortie de deux nouvelles fonctionnalités de sa base de donnée. En premier, lieu, Oracle Secure Backup est une solution de sauvegarde encryptée sur bande pour les versions Linux, Unix et Windows. Les données sont encryptées juste avant la sauvegarde, et la clé permettant le décryptage conservée dans la base. Cela permet de résoudre le problème des pertes éventuelles de bandes de sauvegarde, qui peuvent compromettre la confidentialité des informations.

Un autre, outil, destiné à restreindre les droits des administrateurs et dénommé Oracle Database Vault a également été annoncé. Celui-ci est destiné a mettre en place des mesures préventives s’assurant que les administrateurs de la base ne peuvent avoir accès aux données stockées.

Il est destiné à répondre aux problèmes de fuites d’informations venus de l’intérieur d’une organisation, mais aussi à différentes réglementations ayant un impact sur la sécurité informatique, comme la directive européenne sur la protection de la vie privée dans les communications électroniques, la loi américaine Sarbanes Oxley, ou encore la loi japonaise sur la protection des informations personnelles.

Le produit peut implémenter des restrictions incrémentales et ne produirait pas d’impact sur les performances. Il est basé sur un système de règles et l’utilisation des REALMS. Il est par exemple possible d’établir des règles en fonction du lieu de connexion de l’administrateur. Cette fonction sera commercialisée au prix de 20 000 dollars par processeur ou 400 dollars par utilisateur.