Comment signaler des vulnérabilités à Oracle

Si vous êtes un client ou un partenaire Oracle, utilisez My Oracle Support pour créer une demande de service et signaler une vulnérabilité que vous pensez avoir identifiée dans un produit Oracle. Si vous n’êtes ni un client ni un partenaire, envoyez un email à l’adresse secalert_us@oracle.com en décrivant la vulnérabilité identifiée. Nous encourageons les personnes qui contactent Oracle Security à utiliser le chiffrement des emails à l’aide de notre clé de chiffrement.

Oracle estime grandement les chercheurs indépendants qui identifient les vulnérabilités et collaborent avec Oracle pour que des correctifs de sécurité soient mis à la disposition des clients. La politique d’Oracle consiste à citer nommément tous les chercheurs ayant signalé le bug de sécurité dans le document Critical Patch Update Advisory (Avis de correctif critique) lors de la publication du correctif correspondant. Afin d’être nommés dans ce document, les chercheurs doivent observer des pratiques de divulgation responsable, notamment :

  • Ils ne doivent pas publier la vulnérabilité avant qu’Oracle n’ait publié le correctif correspondant.
  • Ils ne doivent pas divulguer les détails exacts du problème, par exemple à travers des exploits ou du code test. Oracle ne cite nommément ni ses salariés, ni ses sous-traitants, ni ses filiales s’ils découvrent des vulnérabilités