Les plates-formes Oracle Application Server et Oracle Fusion Middleware, basées sur le logiciel de serveur HTTP open source Apache 2.0 ou 2.2, sont au centre d’une faille de sécurité, qui a forcé la firme de Larry Ellison à réagir.
Oracle incite donc à mettre à jour ses serveurs d’applications en question.
Sont précisément concernés par cette mise à jour critique d’Oracle, les produits suivant :Oracle Fusion Middleware 11g Release 1, versions 11.1.1.3.0, 11.1.1.4.0 et 11.1.1.5.0; Oracle Application Server 10g Release 3, version 10.1.3.5.0, et Oracle Application Server 10g Release 2, version 10.1.2.3.0.
La faille peut être exploitée pour lancer une attaque de type déni de service (DoS ou Denial of Service). Et celle-ci peut être effectuée sans même qu’il soit besoin de préciser un nom d’utilisateur et un mot de passe.
Un script Perl tel que Apache Killer peut l’exploiter. C’est un ‘Header’ spécifique (du nom de ‘Range’) qui sert au script pour submerger le serveur avec un très grand nombre de fichiers.
Celui-ci peine alors à gérer ce flux d’informations simultanément et le crash est alors inévitable.
Si Oracle reconnait la gravité de la faille, sur l’échelle d’évaluation des vulnérabilités (‘CVSS’ pour ‘Common Vulnerability Scoring System’), elle lui donne une note de 5.0.
« Un DoS sur l’OS complet est impossible sur aucune des plates-formes supportées par Oracle, et par conséquence, Oracle a noté la vulnérabilité avec un score de 5.0 indiquant un DoS complet du serveur HTTP Oracle mais pas de son système d’exploitation« , précise toutefois Oracle.
Cela va à l’encontre de la note de 7.8 sur 10 que le gouvernement américain avait donné à cette faille.
Quoi qu’il en soit, la menace est suffisamment pesante pour qu’il convienne d’effectuer promptement cette mise à jour majeure.
Elle a été jugée assez sérieuse pour qu’Oracle ne s’en tienne pas à son calendrier de mises à jour (la prochaine mise à jour critique était prévue pour le 18 octobre 2011).
Crédit photo : © Vladislav Kochelaevs – Fotolia.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…