Mise à jour critique chez Oracle : 122 failles de sécurité corrigées

Oracle a publié une mise à jour critique afin de corriger 122 failles de sécurité détectées dans ses bases de données, ses applications d’entreprise, ses outils développeur et ses produits middleware (logiciels d’infrastructure).

L’éditeur publie ses mises à jour de sécurité sur une base trimestrielle et utilise aujourd’hui un système qui attribue aux bugs un degré de sévérité basé sur une échelle de un à dix. Le système de notation repose sur le principe du CVSS (Common Vulnerability Scoring System), un système commun d’évaluation utilisé par d’autres fabricants, noramment Cisco Systems.

Oracle a également commencé à fournir des informations complémentaires sur la nature des failles, en indiquant notamment si la vulnérabilité en question peut être exploitée à distance sans données d’authentification. Le système a été conçu pour aider les administrateurs à identifier les problèmes les plus urgents.

La faille de sécurité la plus importante, à qui l’on a attribué la note 7.0 sur l’échelle de la gravité affecte le système Oracle Application Express. La base de données phare de l’entreprise a obtenu un total de 22 correctifs, dont le plus sévère évalué à un degré critique de 4.2.

David Litchfield, représentant de Next Generation Security Software, reproche à Oracle de ne pas avoir publié ses correctifs sur toutes ses plates-formes. Les correctifs pour les bases de données Oracle 9.2.0.6 et 10.1.0.5 ne seront en effet disponibles qu’à la fin du mois.

Les utilisateurs de la base Oracle 10.2.0.1 pour les serveurs Linux sur Power devront également patienter jusqu’à la fin du mois d’octobre, de même que les utilisateurs de la base Oracle 10.2.0.2 pour Windows. « Après une publication de ses mises à jour critiques en juillet 2006 particulièrement réussie et exhaustive, il est décevant de voir Oracle renouer avec ses mauvaises habitudes « , a déclaré Litchfield.