07/09/2001
Oracle
corrige une faille majeure dans 8i... et une deuxième
dans la foulée
A l'annonce de la découverte
le 27 juin dernier d'une faille
de sécurité majeure dans sa base de
données 8i par l'entité de chercheurs Covert
Labs du PGP
Security Group chez Network Associates, l'éditeur
américain Oracle
n'en menait pas large. Mais un
communiqué officiel a rapidement été
publié sur son site. En effet, la faille a été
qualifiée de majeure et reprise à ce titre
par le Cert
(Computer emergency response team), du fait notamment
qu'elle concerne les versions les plus répandues
de sa base à la fois sur les systèmes d'exploitation
Unix et Windows.
Prise de contrôle d'Oracle
8i, voire de Windows
Vue
de près, la faille concerne un "buffer overflow",
c'est à dire un dépassement de la mémoire
tampon via l'envoi d'une séquence de texte trop
longue à travers le TNS Listener. Ce dernier (TNS
pour Transparent network sustrate) gère le port
applicatif TCP/IP par lequel transitent les communications
sous forme de requêtes/réponses entre l'utilisateur
et la base de données. Problème : ce
programme résident intervient afin d'établir
la connexion, c'est à dire en amont de la saisie
d'un mot de passe. Un pirate un peu chevronné ayant
évalué la longueur de texte à envoyer
pourrait y concaténer un petit programme malicieux
qui serait éxécuté par le serveur
de données. Sur un système d'exploitation
Windows NT/2000, il en résulte une prise de contrôle
totale du serveur. Sur Unix, le malveillant ne peut a
priori pas sortir de la base de données 8i dont
il prend néanmoins le contrôle, et peut jouer
à sa guise avec les données.
Dénis de service en passant
par le protocole SQLNet
Oracle, qui d'usage effectue une veille serrée
pour corriger ses failles en amont, n'a pu mettre en ligne
son correctif que quelques jours plus tard. Répertorié
derrière le n°1489683, celui-ci est disponible
auprès des détenteurs d'une licence en
suivant ce lien. Dans le même temps, il est
conseillé aux possesseurs des versions d'Oracle
8.1.x (x=5, 6 ou 7) sur tous les systèmes
d'exploitation d'aller chercher le correctif n°1656431.
Car les chercheurs du Covert
Labs ont en fait réalisé d'une pierre deux
coups. En effet, une seconde
faille qualifiée cette fois-ci de moyenne est
passée un peu plus inaperçue, car elle ne
donne pas un accès administrateur aux malotrus.
En modifiant l'en-tête d'un paquet spécifique
au protocole SQLNet (ou Net8), une vulnérabilité
des librairies TNS (voir faille précédente)
peut être exploitée pour occasionner des
attaques de déni de service, ou DOS, à travers
au moins quatre ports TCP/IP dont le listener. Relativement
prompt à la correction face à (parfois)
des
Sun ou des
Microsoft, Oracle aurait également mis à
jour sa nouvelle base de données 9i qui entre actuellement
en phase de commercialisation.
|