Logo

Ma petite parcelle d'Internet...

Un autre regard sur la sécurité informatique, entre autres futilités.

mercredi 18 janvier 2006

Tout vient à point à qui peut attendre

Par Sid, mercredi 18 janvier 2006 à 11:37 :: (In)Sécurité
Lu 6559 fois :: en flagEnglish

Sablier

O

nt été publiés cette nuit quatre avis de sécurité sur des produits Oracle, corrigés par le Critical Patch Update (CPU) de janvier 2006 (qui élimine également 78 autres vulnérabilités).

Ce qui est frappant dans ces quatre avis, c'est la mention des délais de correction :

  • Bug 5882923 : 875 jours
  • Bug 5883603 : 889 jours
  • Bug 5883621 : 874 jours
  • Bug 5802023 : 190 jours

Plus intéressant encore. Les trois premiers ont été annoncés en juillet dernier après publication d'un CPU censé les corriger. Pas de bol, il ne l'étaient pas... Résultat, après deux ans de traitement silencieux, pendant lesquels (c'est bien connu) personne n'a été susceptible de redécouvrir ces bugs, on repart pour six mois de vulnérabilité publique, officielle, mais non patchée.

Du coup, j'attends avec impatience d'assiter à la présentation d'Adam Jacobs d'Oracle intitulée Why is commercial software so vulnerable?[1] pour voir par quelle(s) galippette(s) rhétorique(s) il va s'en sortir cette fois.

Notes

[1] Subliminal message inside

Note : 0.0/5 pour 0 vote

un commentaire :: aucune réponse :: aucun trackback

vendredi 13 janvier 2006

Ça s'est vu...

Par Sid, vendredi 13 janvier 2006 à 00:02 :: (In)Sécurité
Lu 4975 fois :: en flagEnglish

Burglar

P

etite charade de fin de semaine... Mon premier est compte superutilisateur ; mon second n'est pas documenté ; mon troisième a un mot de passe par défaut. Mon tout est... le nouvel advisory Cisco :

http://www.cisco.com/warp/public/707/cisco-sa-20060111-mars.shtml

Encore trouver ce genre de truc, aujourd'hui en 2006, qu'est-ce que c'est ? Une tentative de breveter la machine à remonter dans la temps ? Ou alors, ils essayent de nous monter un nouveau WOPR, voire un petit Gibson...

Note : 0.0/5 pour 0 vote

6 commentaires :: 2 réponses :: aucun trackback

vendredi 6 janvier 2006

La faille WMF est (enfin) officiellement patchée

Par Sid, vendredi 6 janvier 2006 à 00:06 :: (In)Sécurité
Lu 4978 fois :: en flagEnglish

Dr. Evil

M

icrosoft vient de publier son premier bulletin de l'année 2006. Objet du délit ? La fameuse faille WMF (Windows Meta File). Un peu en avance sur le programme, ils mettent donc à disposition un patch officiel. Mais devant un tel écoulement d'encre et d'octets, face au fleurissement des exploits, il fallait bien ça. Pour autant, le correctif ne semblait pas non plus très compliqué, comme l'ont déjà remarqué certains, ne faisant apparemment rien de plus que ce que faisait déjà le patch officieux d'Ilfak Guilfanov, déjà recommandé par de nombreuses sources.

Lire la suite...

Note : 0.0/5 pour 0 vote

2 commentaires :: une réponse :: aucun trackback