Des défauts de conception et de programmation remettent en cause la sécurité de la toute dernière version du SGBD Oracle.
A peine sortie et déjà faillible. Oracle 11g, pourtant présenté comme plus fiable que les versions précédentes de ce SGBD, souffre de failles.
Un constat d’autant plus atterrant qu’il serait dû à des « erreurs stupides » de programmation, précise Alexander Kornbrust, le patron de Red Database Security GmbH. « Oracle doit former ses propres développeurs. Normalement, ils ne devraient pas commettre ce genre de bévues ».

Parmi les failles découvertes, certaines portent sur la possibilité de faire tourner du code toxique et d’autres sur le moyen de circonvenir la capacité d’audit de 11g. Ces dernières failles pourraient réduire à néant les efforts de conformité et de traçabilité auxquels s’astreignent les entreprises.
Alexander Kornbrust va encore plus loin. Selon lui, des problèmes au niveau de la conception architecturale même de 11g permettent de contourner et donc de rendre inopérants Oracle Database Vault et Oracle Audit Vault, les derniers outils de sécurité annoncés.

Avec des produits aussi stratégiques qu’un SGBD d’entreprise, l’application d’une rustine réclame beaucoup plus d’attention et d’énergie que la même opération pour, disons, un poste de travail.
Toujours selon Alexander Kornbrust, l’application d’une rustine sur une base Oracle requiert en moyenne quatre heures d’intervention. Il convient d’ajouter à cela la nécessité d’une planification de l’intervention d’autant plus contraignante que le produit est sensible. Sans oublier qu’il faut, bien sûr, tester la rustine avant de l’appliquer sur chaque exemplaire opérationnel de la base.