Oracle : gestion de vulnérabilité FAIL

Pendant qu’on est dans le LOL / FAIL, il fallait vous faire suivre ce mail tombé il y a quelques jours sur Full-Disclosure :

Joxean Koret (projets Inguma et Pyew) s’est penché sur la sécurité de l’Incassable Oracle (comme ils aiment se définir) et comme toujours la sécurité n’était pas au rendez-vous.

Il a découvert un bug qui doit être vieux d’environ 13 ans et qui touche les différents serveurs de base de données de la société.
L’attaque baptisée TNS Poison touche le listener TNS d’Oracle que l’on pourrait décrire comme un système DNS pour base de données. D’ailleurs Oracle fournit généralement dans ses installs une commande baptisée TNSping permettant de savoir si une instance Oracle est bien active.

La ressemblance ne s’arrête pas là puisque l’attaque TNS Poison permet d’empoisonner le TNS listener et de d’écraser dans le cache l’IP du serveur de BDD pour une instance donnée…
On peut alors mettre en place des techniques de type MITM (sniffing, injection etc) bref c’est du sérieux.

Le chercheur est un mec à la cool, alors il aura laissé 4 ANS à Oracle le temps qu’ils fixent cette vulnérabilité avant que le sploit soit publié.

4 ans pour fixer une vuln, c’est pas glorieux pour un système qui se prétend incassable… mais bon tout était réglé… à priori.

Car quand Oracle publie son patch de sécurité critique, la société reste évasive sur quelle vulnérabilité est concernée et répond via un mail que la vuln a été fixée dans les futures versions. WTF ? Ça a été fixé oui ou non ? Ils ont laissé Marty McFly s’occuper du patch ?

Joxean qui souhaite mettre ça au clair avec Oracle renvoie plusieurs mails pour découvrir finalement que la vuln n’a pas été réellement fixé parce que, enfin bon, c’est trop difficile à intégrer et il y a des risques de régression etc.
Quand finalement il demande quelles versions sont concernées par la faille, lui qui en est le découvreur, se voit répondre qu’Oracle ne divulgue pas ce type d’informations… pour protéger ses clients.

Conclusion :

  • Oracle a fait semblant de fixer un faille critique en sortant un patch placebo parce qu’ils ne sont pas en mesure de l’intégrer alors qu’ils ont eu 4 ans pour le faire
  • Un exploit 0day pour la faille a été publié parce que Oracle s’est chié dessus en faisant croire que la faille avait été corrigé
  • Oracle prétend faire tout ça (ne pas corriger une faille critique vieille de 13 ans touchant toutes les versions de son produit phare) pour protéger l’intérêt de ses cliens

Vulnerability management… you are doing it wrong !

4 réflexions au sujet de « Oracle : gestion de vulnérabilité FAIL »

Les commentaires sont fermés.