Pour gérer vos consentements :
Categories: Cloud

Oracle : la menace DoS est sérieuse sur les serveurs d’application

Les plates-formes Oracle Application Server et Oracle Fusion Middleware, basées sur le logiciel de serveur HTTP open source Apache 2.0 ou 2.2, sont au centre d’une faille de sécurité, qui a forcé la firme de Larry Ellison à réagir.

Oracle incite donc à mettre à jour ses serveurs d’applications en question.

Sont précisément concernés par cette mise à jour critique d’Oracle, les produits suivant :Oracle Fusion Middleware 11g Release 1, versions 11.1.1.3.0, 11.1.1.4.0 et 11.1.1.5.0; Oracle Application Server 10g Release 3, version 10.1.3.5.0, et Oracle Application Server 10g Release 2, version 10.1.2.3.0.

La faille peut être exploitée pour lancer une attaque de type déni de service (DoS ou Denial of Service). Et celle-ci peut être effectuée sans même qu’il soit besoin de préciser un nom d’utilisateur et un mot de passe.

Un script Perl tel que Apache Killer peut l’exploiter. C’est un ‘Header’ spécifique (du nom de ‘Range’) qui sert au script pour submerger le serveur avec un très grand nombre de fichiers.

Celui-ci peine alors à gérer ce flux d’informations simultanément et le crash est alors inévitable.

Si Oracle reconnait la gravité de la faille, sur l’échelle d’évaluation des vulnérabilités (‘CVSS’ pour ‘Common Vulnerability Scoring System’), elle lui donne une note de 5.0.

« Un DoS sur l’OS complet est impossible sur aucune des plates-formes supportées par Oracle, et par conséquence, Oracle a noté la vulnérabilité avec un score de 5.0 indiquant un DoS complet du serveur HTTP Oracle mais pas de son système d’exploitation« , précise toutefois Oracle.

Cela va à l’encontre de la note de 7.8 sur 10 que le gouvernement américain avait donné à cette faille.

Quoi qu’il en soit, la menace est suffisamment pesante pour qu’il convienne d’effectuer promptement cette mise à jour majeure.

Elle a été jugée assez sérieuse pour qu’Oracle ne s’en tienne pas à son calendrier de mises à jour (la prochaine mise à jour critique était prévue pour le 18 octobre 2011).

Crédit photo : © Vladislav Kochelaevs – Fotolia.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago