Oracle : la menace DoS est sérieuse sur les serveurs d’application
Oracle diffuse des patches en vue de remédier à une faille de sécurité majeure sur ses serveurs d’applications Oracle Application Server et Oracle Fusion Middleware.
Les plates-formes Oracle Application Server et Oracle Fusion Middleware, basées sur le logiciel de serveur HTTP open source Apache 2.0 ou 2.2, sont au centre d’une faille de sécurité, qui a forcé la firme de Larry Ellison à réagir.
Oracle incite donc à mettre à jour ses serveurs d’applications en question.
Sont précisément concernés par cette mise à jour critique d’Oracle, les produits suivant :Oracle Fusion Middleware 11g Release 1, versions 11.1.1.3.0, 11.1.1.4.0 et 11.1.1.5.0; Oracle Application Server 10g Release 3, version 10.1.3.5.0, et Oracle Application Server 10g Release 2, version 10.1.2.3.0.
La faille peut être exploitée pour lancer une attaque de type déni de service (DoS ou Denial of Service). Et celle-ci peut être effectuée sans même qu’il soit besoin de préciser un nom d’utilisateur et un mot de passe.
Un script Perl tel que Apache Killer peut l’exploiter. C’est un ‘Header’ spécifique (du nom de ‘Range’) qui sert au script pour submerger le serveur avec un très grand nombre de fichiers.
Celui-ci peine alors à gérer ce flux d’informations simultanément et le crash est alors inévitable.
Si Oracle reconnait la gravité de la faille, sur l’échelle d’évaluation des vulnérabilités (‘CVSS’ pour ‘Common Vulnerability Scoring System’), elle lui donne une note de 5.0.
« Un DoS sur l’OS complet est impossible sur aucune des plates-formes supportées par Oracle, et par conséquence, Oracle a noté la vulnérabilité avec un score de 5.0 indiquant un DoS complet du serveur HTTP Oracle mais pas de son système d’exploitation« , précise toutefois Oracle.
Cela va à l’encontre de la note de 7.8 sur 10 que le gouvernement américain avait donné à cette faille.
Quoi qu’il en soit, la menace est suffisamment pesante pour qu’il convienne d’effectuer promptement cette mise à jour majeure.
Elle a été jugée assez sérieuse pour qu’Oracle ne s’en tienne pas à son calendrier de mises à jour (la prochaine mise à jour critique était prévue pour le 18 octobre 2011).
Crédit photo : © Vladislav Kochelaevs – Fotolia.com