Pour ceux qui me lisent assez régulièrement, vous allez me dire : "Mais quelle rigolade!".
Pour mes nouveaux/récents lecteurs qui n'ont pas tout compris, Oracle a connu récemment une vulnérabilité sur son système de bases de données et suite à ça, Oracle a fait une annonce dans laquelle il offre le support SSL pour ses clients.

Un article sur leur blog explique pourquoi la société a fait cette annonce, Oracle Security Alert for CVE-2012-1675 distingue deux types supports. L'un pour les clients sans Oracle Real Application Clusters et un pour ceux avec Oracle RAC.

Pour ceux sans RAC, Oracle recommande de limiter les inscriptions de nouveaux listeners et des protocoles IPC. Toutes les instructions sont fournies dans l'annonce d'Oracle : Using Class of Secure Transport (COST) to Restrict Instance Registration.

Pour ceux avec RAC ou Exadata, le problème est un peu plus complexe et l'utilisation de COST signifie dans ce cas la mise en place du SSL/TLS comme indiqué dans Using Class of Secure Transport (COST) to Restrict Instance Registration in Oracle RAC. Le problème est que l'utilisation de SSL/TLS est vendu pour un coût supplémentaire non négligeable. Mais maintenant (et ça aurait dû être le cas dés le début...), Oracle a mis à jour sa licence afin que les clients puissent utiliser le SSL/TLS afin de se protéger contre cette vulnérabilité.

Avec le changement de licence et la disponibilité du workaround (solution de contournement) efficace, il est peu probable qu'Oracle mette en place un patch pour ses base de données d'ici peu de temps. Le problème affecte actuellement les base de données Oracle 11gR2 11.2.0.2 et 11.2.0.3, 11.1.0.7 11gR1, et 10g 10.2.0.3, 10.2.0.4 et 10.2.0.5. Les utilisateurs de Oracle Fusion Middleware, Enterprise Manager ou E-Business Suite devraient également prendre note de cette vulnérabilité, car ces produits incluent le système de base de données d'Oracle.