Sablier

O

nt été publiés cette nuit quatre avis de sécurité sur des produits Oracle, corrigés par le Critical Patch Update (CPU) de janvier 2006 (qui élimine également 78 autres vulnérabilités).

Ce qui est frappant dans ces quatre avis, c'est la mention des délais de correction :

  • Bug 5882923 : 875 jours
  • Bug 5883603 : 889 jours
  • Bug 5883621 : 874 jours
  • Bug 5802023 : 190 jours

Plus intéressant encore. Les trois premiers ont été annoncés en juillet dernier après publication d'un CPU censé les corriger. Pas de bol, il ne l'étaient pas... Résultat, après deux ans de traitement silencieux, pendant lesquels (c'est bien connu) personne n'a été susceptible de redécouvrir ces bugs, on repart pour six mois de vulnérabilité publique, officielle, mais non patchée.

Du coup, j'attends avec impatience d'assiter à la présentation d'Adam Jacobs d'Oracle intitulée Why is commercial software so vulnerable?[1] pour voir par quelle(s) galippette(s) rhétorique(s) il va s'en sortir cette fois.

Notes

[1] Subliminal message inside