Une faille critique dans Oracle Database ?

Certains d'entre vous ont peut-être lu ce titre inquiétant sur le site Web "LeMondeInformatique.fr". Qu'en est-il exactement ?

DIGORA prend très au sérieux la sécurité des données de ses clients. C'est pourquoi, dès que cette information a été publiée, nos experts se sont immédiatement penchés sur ce sujet.

1. Quelques précisions

Le texte complet de l'article est accessible par ce lien. En deux mots, le problème constaté est lié à un mécanisme interne (SCN) permettant de maintenir la cohérence des données dans la base, en fonction des COMMIT, des sauvegardes bases ouvertes et de l'utilisation de plusieurs bases de données rattachées par des Database Links.

Ce SCN est conçu pour permettre à une base de données de "vivre" pendant plusieurs centaines d'années sans problème. Mais un Bug fait augmenter la valeur du SCN de façon anormale lorsque des sauvegardes sont effectuées en mode Base Ouverte, sans utiliser RMAN mais avec des ordres SQL largement utilisés dans le passé, et désormais obsolètes depuis l'utilisation généralisée de RMAN. L'utilisation intensive de Database Links sur un grand nombre de bases interconnectées peut également faire évoluer plus rapidement ce SCN. Enfin, des individus malveillants pourraient aussi faire augmenter ce SCN artificiellement. Oracle a publié un correctif dans son CPU (Critical Patch Update)  et PSU (Patch Set Update) de Janvier.

2. Le plan d'action de DIGORA

Très vite, DIGORA a réagi de la façon suivante :

• examen rapide des bases Oracle gérées dans le service ONDEMAND de DIGORA afin de déterminer la situation de chaque base par rapport à cette anomalie
• mise en place d'un plan de communication destiné à ses clients pour les informer de la situation et formuler  des recommandations, notamment par rapport à l'application du dernier CPU ou PSU.