Base de données : une faille de sécurité permet de prendre le contrôle total de la 11g R2 d'Oracle

Gordon Fowler · 26/08/2009, 08h26

Mise à jour du 04/02/10

Oracle 11g R2 : une faille permet de prendre le contrôle total du SGBD
L'implémentation de Java dans la base de données serait en cause

La base de donnée Oracle 11g R2 possèderait une faille de sécurité importante qui permettrait à un utilisateur mal intentionné d'en prendre le contrôle complet et total ("complete control over the database").

C'est en tout cas ce qu'affirme David Litchfield, chercheur renommé pour le NGS Consulting lors du colloque sur la sécurité informatique du Black Hat.

Démonstration à l'appui, Litchfield a ainsi montré à l'assistance comment un utilisateur lambda pouvait s'approprier des droits d'administration supérieurs.
Il explique par ailleurs que la faille viendrait de la manière dont Java a été implémenté dans Oracle 11g Release 2.

Jusqu'à ce que Oracle la colmate, David Litchfield recommande donc aux administrateurs du SGBD de limiter l'accès et l'exécution publics de certaines fonctions en Java.

Pour faciliter la tache de Larry Ellisson, le pDG d'Oracle, avec qui il entretient visiblement des relations "rock n' roll" (vo "rocky relations"), le chercheur publiera prochainement un white paper de son exploit.

Néanmoins, ce vétéran de la recherche en sécurité (et un des plus reconnus) trouve que la sécurité du SGBD d'Oracle s'est nettement améliorée par rapport aux versions précédentes.

Ce qui ne l'empêche pas d'affirmer dans le même temps que le géant du logiciel se repose trop sur les outils de sécurité au lieu d'intégrer ces problématiques dès la phase de conception de ses produits.

Ce n'est visiblement pas demain la veille que les deux seniors deviendront les meilleurs amis du monde IT.

Source : Conférence lors du Black Hat

Et vous ?

Pensez-vous comme David Litchfield qu'Oracle ne prend pas assez en compte la sécurité dans la conception de ses offres ?

Comment régissez-vous à cette annonce de cet exploit "zero-day" : indifférence, préoccupation, étonnement ?

MAJ de Gordon Fowler

Mise à jour du 02/09/09

Base de données : la 11g R2 d'Oracle vient de sortir

Comme prévu, Oracle Database 11g Release 2 vient de sortir.

Citation:

Cette nouvelle génération [de] bases de données s'appuie sur les innovations introduites par Oracle Database 11g pour aider les entreprises à bénéficier d'un meilleur traitement des informations à travers l'ensemble de leur organisation, avec une meilleure qualité de service et pour un coût inférieur.

Elle est annoncée par Oracle comme pouvant diviser le coût des serveurs par 5 tout en les consolidant au sein d'une architecture grid.

La 11g R2 est disponible en téléchargement gratuit sur cette page (NB : pour Linux).

Citation:

Base de données : la 11g R2 d'Oracle sera présentée dès Septembre

L'update du fer de lance d'Oracle en matière SGBD était extrêmement attendue.
La nouvelle ravira dons les utilisateurs : la mise à niveau arrivera Septembre 2009.

Des améliorations sont annoncées particulièrement dans les grilles de calcul, la gestion du stockage et le partitionnement des données (alias le "clustering").

Jusqu'à présent, l'entreprise refusait de confirmer la rumeur, préférant laisser ses béta-testeurs travailler dans le plus grand secret.

Cette rumeur était née suite aux propos de Charles Philips, Président d'Oracle, lors d'une conférence de presse du 28 février dernier où il déclarait :

Citation:

New release of the database 11g release 2 should happen in Q1.

Pour mémoire, le Q1 est le premier trimestre fiscal américain qui débute en Juin.

Ian Abramson, president du "Groupe des Utilisateurs Independants d'Oracle", a lui participé au test de la version béta.
Il pense que celle-ci est largement plus stable que la précédente.

Sur son blog, il déclare qu'elle devrait convaincre beaucoup d'utilisateurs de la 10g de franchir le pas, chose que la 11g, parue en Juillet 2007, n'avait que partiellement réussi à faire :

Citation:

[...] how can you tell if someone is a Junior or Senior DBA ? The answer goes that when the first version of the software arrives the Junior DBA wants to install it straight to production and the Senior DBA throws out the CD and waits for Release 2 [...] So here we are with Oracle 11g Release 2, and based on what I have seen .... you should start to consider the adoption of the this release.

La présentation officielle de la 11g R2 aura lieu le 29 Septembre prochain à Bedford.

Sources :

L'annonce officielle d'Oracle

Le blog des utilisateurs indépendants d'Oracle

Le compte rendu de la conférence du Président d'Oracle

Lire aussi :

Tout Oracle sur Developpez.com: le forum, les outils, les FAQ, les tutos.

Rachat de Sun par Oracle : Le département américain de la justice vient de donner son accord

Le PDG d'Oracle touchera un salaire de 1 dollar sur 2010

Et vous ? :

Attendiez-vous avec impatience la 11g R2 ?

D'après vous, peut-elle convaincre les utilisateurs de la 10g de tenter l'upgrade ?

Que pensez-vous de la boutade de Abramson sur la différence entre les DBA expérimentés et les newbies ?

Laurent_du_78 · 27/08/2009, 10h32

bonjour,
il y a une présentation à paris le 22/09.
Attendiez-vous avec impatience la 11g R2 ?
Non

D'après vous, peut-elle convaincre les utilisateurs de la 10g de tenter l'upgrade ?
L'upgrade vers la 11g (R1 ou R2) va surement est nécessaire pour une simple raison : la date de fin de support de la 10g Correction 31/07/2010 et Extend 31/07/2013.
Les nouveautés sont pour la plupart payantes, voir des améliorations comme la compression, cryptage deviennent payantes

Que pensez-vous de la boutade de Abramson sur la différence entre les DBA expérimentés et les newbies ?
pas compris

Emmanuel Lecoester · 27/08/2009, 11h41

Pour la blague idem pas trop bien comprise

à part que le noob va vouloir installer la dernière version et prod et que le leet va attendre sagement la R2.

laurentschneider · 01/09/2009, 16h12

pour les impatients, la 11gR2 est disponible sur le site d'Oracle

http://www.oracle.com/technology/sof...ase/index.html

orafrance · 01/09/2009, 16h29

Citation:

Envoyé par Emmanuel Lecoester

Pour la blague idem pas trop bien comprise

à part que le noob va vouloir installer la dernière version et prod et que le leet va attendre sagement la R2.

La blague c'est que le junior va se jeter sur la nouvelle version alors que le senior sait qu'il y a une constante chez Oracle : les nouvelles versions ne valent la peine d'être installées qu'à partir de la deuxième release

Blague de DBA senior quoi

Gordon Fowler · 02/09/2009, 10h27

MAJ : la 11g R2 est disponible !

petitfrere · 02/09/2009, 11h01

vous testez vous me faite un rapport détaillé et je migre mon rac mes 3 standby et mes 8 standalones, MERCi lol

merci

laurentschneider · 02/09/2009, 11h26

Citation:

Envoyé par petitfrere

vous testez vous me faite un rapport détaillé et je migre mon rac mes 3 standby et mes 8 standalones, MERCi lol

merci

la bonne nouvelle c'est que tu peux avoir 30 standby au lieu de seulement 9 par base primaire

petitfrere · 02/09/2009, 11h39

Mouai je bosse pas a la nasa non plus (3 c'est suffisants)

30 !!! la machine primaire va pomper toutes ces ressources pour envoyer ces archives ? non ?

farenheiit · 02/09/2009, 11h46

l'autre bonne nouvelle c'est que le Vote disk et l'OCR seront pris en compte par ASM

petitfrere · 02/09/2009, 11h49

Citation:

Envoyé par farenheiit

l'autre bonne nouvelle c'est que le Vote disk et l'OCR seront pris en compte par ASM

Ca c'est une excellente nouvelle !

Laurent_du_78 · 03/09/2009, 09h16

Citation:

Envoyé par orafrance

La blague c'est que le junior va se jeter sur la nouvelle version alors que le senior sait qu'il y a une constante chez Oracle : les nouvelles versions ne valent la peine d'être installées qu'à partir de la deuxième release

Blague de DBA senior quoi

A j'avais bien compris la blague alors, je manque d'humour donc

Sinon, que veut dire

Citation:

Des améliorations sont annoncées particulièrement dans les grilles de calcul, ...

orafrance · 03/09/2009, 09h21

C'est le grid computing... le calcul partagé (ferme de serveurs) serait une traduction plus correcte je pense

laurentschneider · 04/09/2009, 12h52

Citation:

dans les grilles de calcul

ils sont fous ces gaulois

farenheiit · 04/09/2009, 13h15

A ce propos, comment faire pour utiliser la Db console en anglais ? parce que j'ai mis du temps à comprendre que les "Espaces disques logiques" ça correspondait aux tablespaces

fulub · 04/09/2009, 13h18

Citation:

Envoyé par farenheiit

A ce propos, comment faire pour utiliser la Db console en anglais ? parce que j'ai mis du temps à comprendre que les "Espaces disques logiques" ça correspondait aux tablespaces

Il suffit de modifier la langue par défaut du navigateur

farenheiit · 04/09/2009, 15h41

super!!!!

merci

scheu · 14/09/2009, 15h47

Pour des DBA qui n'ont pas d'usine à gaz chez eux (pas de RAC, pas d'ASM, juste du dataguard à la limite), mais qui ont surtout des bases en standalone, quel intérêt y a-t-il à migrer en 11gR2 si ce n'est pour éviter l'obsolescence et la fin du support de la 10gR2 ?

orafrance · 14/09/2009, 16h06

Corriger des bugs de la 10GR2 et 11GR1

farenheiit · 14/09/2009, 16h17

- profiter des améliorations du CBO
- profiter du RAT
- profiter des nouveautés de RMAN
- profiter des nouveautés au niveau du partitioning (Interval partioning et virtual column partitioning qui sont très puissants)
- profiter des nouveautés en matière de tuning

27/08/2009, 11h41	#3
Emmanuel Lecoester Responsable WinDev Emmanuel Lecoester Inscription : février 2003 Messages : 1 468 Détails du profil Informations personnelles : Nom : Emmanuel Lecoester Âge : 37 Localisation : France, Nord (Nord Pas de Calais) Informations forums : Inscription : février 2003 Messages : 1 468 Points : 3 455 Points : 3 455	Pour la blague idem pas trop bien comprise à part que le noob va vouloir installer la dernière version et prod et que le leet va attendre sagement la R2. __________________ Emmanuel Lecoester => On recrute des rédacteurs WinDev
	00

01/09/2009, 16h12	#4
laurentschneider Expert Confirmé Sénior Laurent Schneider Administrateur de base de données Inscription : décembre 2005 Messages : 2 931 Détails du profil Informations personnelles : Nom : Laurent Schneider Localisation : Suisse Informations professionnelles : Activité : Administrateur de base de données Secteur : Finance Informations forums : Inscription : décembre 2005 Messages : 2 931 Points : 4 873 Points : 4 873	pour les impatients, la 11gR2 est disponible sur le site d'Oracle http://www.oracle.com/technology/sof...ase/index.html __________________ Mon blog : laurentschneider.com Mon livre : Advanced Oracle SQL Programming
	00

03/09/2009, 09h21	#13
orafrance Rédacteur/Modérateur Inscription : janvier 2004 Messages : 15 857 Détails du profil Informations personnelles : Âge : 36 Informations forums : Inscription : janvier 2004 Messages : 15 857 Points : 16 867 Points : 16 867	C'est le grid computing... le calcul partagé (ferme de serveurs) serait une traduction plus correcte je pense __________________ Règles et liens du forum Oracle Guide Oracle Pense-bête du DBA Oracle : Exemple
	00

14/09/2009, 15h47	#18
scheu Membre Expert Inscription : juin 2007 Messages : 1 501 Détails du profil Informations forums : Inscription : juin 2007 Messages : 1 501 Points : 1 493 Points : 1 493	Pour des DBA qui n'ont pas d'usine à gaz chez eux (pas de RAC, pas d'ASM, juste du dataguard à la limite), mais qui ont surtout des bases en standalone, quel intérêt y a-t-il à migrer en 11gR2 si ce n'est pour éviter l'obsolescence et la fin du support de la 10gR2 ? __________________ La théorie, c'est quand on sait tout mais que rien ne fonctionne. La pratique, c'est quand tout fonctionne mais que personne ne sait pourquoi. Ici, nous avons réuni théorie et pratique : Rien ne fonctionne ... et personne ne sait pourquoi ! Réplication de base avec Postgresql : http://scheu.developpez.com/tutoriel.../log-shipping/
	00

14/09/2009, 16h06	#19
orafrance Rédacteur/Modérateur Inscription : janvier 2004 Messages : 15 857 Détails du profil Informations personnelles : Âge : 36 Informations forums : Inscription : janvier 2004 Messages : 15 857 Points : 16 867 Points : 16 867	Corriger des bugs de la 10GR2 et 11GR1 __________________ Règles et liens du forum Oracle Guide Oracle Pense-bête du DBA Oracle : Exemple
	00

27/08/2009, 10h32	#2
Laurent_du_78 Membre actif Inscription : juin 2007 Messages : 130 Détails du profil Informations personnelles : Âge : 47 Localisation : France, Yvelines (Île de France) Informations forums : Inscription : juin 2007 Messages : 130 Points : 163 Points : 163	bonjour, il y a une présentation à paris le 22/09. *Attendiez-vous avec impatience la 11g R2 ?* Non *D'après vous, peut-elle convaincre les utilisateurs de la 10g de tenter l'upgrade ?* L'upgrade vers la 11g (R1 ou R2) va surement est nécessaire pour une simple raison : la date de fin de support de la 10g Correction 31/07/2010 et Extend 31/07/2013. Les nouveautés sont pour la plupart payantes, voir des améliorations comme la compression, cryptage deviennent payantes *Que pensez-vous de la boutade de Abramson sur la différence entre les DBA expérimentés et les newbies ?* pas compris
	00

02/09/2009, 10h27	#6
Gordon Fowler Chroniqueur Actualités Inscription : juillet 2009 Messages : 3 318 Détails du profil Informations forums : Inscription : juillet 2009 Messages : 3 318 Points : 33 050 Points : 33 050	MAJ : la 11g R2 est disponible !
	00

02/09/2009, 11h01	#7
petitfrere Membre confirmé Inscription : septembre 2006 Messages : 251 Détails du profil Informations personnelles : Âge : 30 Informations forums : Inscription : septembre 2006 Messages : 251 Points : 214 Points : 214	vous testez vous me faite un rapport détaillé et je migre mon rac mes 3 standby et mes 8 standalones, MERCi lol merci
	00

02/09/2009, 11h39	#9
petitfrere Membre confirmé Inscription : septembre 2006 Messages : 251 Détails du profil Informations personnelles : Âge : 30 Informations forums : Inscription : septembre 2006 Messages : 251 Points : 214 Points : 214	Mouai je bosse pas a la nasa non plus (3 c'est suffisants) 30 !!! la machine primaire va pomper toutes ces ressources pour envoyer ces archives ? non ?
	00

02/09/2009, 11h46	#10
farenheiit Membre confirmé Inscription : mars 2007 Messages : 750 Détails du profil Informations forums : Inscription : mars 2007 Messages : 750 Points : 277 Points : 277	l'autre bonne nouvelle c'est que le Vote disk et l'OCR seront pris en compte par ASM
	00

04/09/2009, 13h15	#15
farenheiit Membre confirmé Inscription : mars 2007 Messages : 750 Détails du profil Informations forums : Inscription : mars 2007 Messages : 750 Points : 277 Points : 277	A ce propos, comment faire pour utiliser la Db console en anglais ? parce que j'ai mis du temps à comprendre que les "Espaces disques logiques" ça correspondait aux tablespaces
	00

04/09/2009, 15h41	#17
farenheiit Membre confirmé Inscription : mars 2007 Messages : 750 Détails du profil Informations forums : Inscription : mars 2007 Messages : 750 Points : 277 Points : 277	super!!!! merci
	00

14/09/2009, 16h17	#20
farenheiit Membre confirmé Inscription : mars 2007 Messages : 750 Détails du profil Informations forums : Inscription : mars 2007 Messages : 750 Points : 277 Points : 277	- profiter des améliorations du CBO - profiter du RAT - profiter des nouveautés de RMAN - profiter des nouveautés au niveau du partitioning (Interval partioning et virtual column partitioning qui sont très puissants) - profiter des nouveautés en matière de tuning
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email