Oracle corrige en urgence une faille critique de sécurité dans son SGBD
L'éditeur comble une faille publiée lors de Black Hat permettant potentiellement de gagner des privilèges d'accès "SYS" sur la base de données maison.
Oracle a été contraint de publier en urgence un correctif pour combler une faille de sécurité publiée à l'occasion de Black Hat par David Litchfield. Une fois n'est pas coutume, l'éditeur a donc rompu avec son cycle habituel de correctifs de sécurité pour publier le bulletin Security Alert CVE-2012-3132 qui traite une faille affectant la base de données Oracle. Selon Oracle, la faille désormais largement exploitée via des "exploits" publiés sur le web, 'appuie sur ‘INDEXTYPE CTXSYS.CONTEXT’, et peut permettre de gagner des privilèges d'administrateur. Elle n'affecte toutefois pas les utilisateurs de la base Oracle 11gR2 qui ont déjà appliqué le correctif de juillet 2012. Toutes les versions antérieures de la base sont toutefois potentiellement affectées, y compris certaines versions qui ne sont plus supportées par l'éditeur.
Oracle note que la faille n'est pas exploitable à distance sans authentification et si l'attaquant n'a pas au moins le droit de créer des tables. L'éditeur recommande néanmoins à tous ses clients d'appliquer le correctif aussi rapidement que possible du fait de sa large exploitation sur le web. Oracle note qu'il ne fournira pas de correctif pour les versions qui ne sont plus supportées, sauf pour les clients qui ont acheté un support étendu ("Extended Support") dans le cadre de sa politique de support à vie ("Lifetime Support").