Annoncé ce 20 janvier, le premier Critical Patch Update de l’année 2015 est dense : pas moins de 169 failles de sécurité sont corrigées dans le cadre de cette mise à jour trimestrielle qu’Oracle applique à sa gamme de produits.
De nombreuses offres sont concernées par ces patchs généralement cumulatifs (à savoir qu’ils incluent les améliorations apportées lors des précédents updates). Un certain nombre de vulnérabilités étant « activement exploitées », Oracle recommande vivement d’appliquer l’intégralité des correctifs. S’il est impossible de les installer pour une quelconque raison, les risques d’attaque peuvent être minimisés en limitant les droits d’accès à certaines ressources et en désactivant certains protocoles réseau… au risque de perturber le fonctionnement d’applications.
Sur la fiche de soins figure notamment l’environnement Java SE. Des 19 failles résorbées, 14 peuvent être exploitées à distance sans avoir à s’authentifier sur le système ciblé ; et 4 sont considérées ultra-critiques si la session en cours dispose des privilèges d’administrateur. Les versions desktop de Java SE (5.0u75, 6u85, 7u72 et 8u25) sont concernées au même titre que celles destinées aux système embarqués (7u71 et 8u6).
La liste est moins longue pour MySQL : 9 brèches recensées, dont trois exploitables par injection de code à distance. La composante chiffrement est affectée à l’instar des couches gérant l’authentification et la réplication. Oracle corrige aussi 8 failles dans son offre Database Server, touchant entre autres l’outil Workspace Manager et le coeur du RDBMS… mais ne pouvant pas être exploitées sans authentification.
Dédiée à la création et à l’exécution d’applications d’entreprise, la plate-forme Fusion Middleware est l’un des principaux bénéficiaires de ce Critical Patch Update : 38 failles sont colmatées (dont 26 exploitables à distance). Le niveau de risque sur les différentes composantes de l’offre (Exalogic Infrastructure, GlassFish Server, BI Publisher, Access Manager…) dépend directement de la version d’Oracle Database utilisée.
Même constat pour la suite Enterprise Manager Grid Control et ses 10 failles toutes exploitables à distance, que ce soit via l’agent destiné aux mises à jour, l’outil de téléversement de fichiers ou le système de notifications. On notera que PeopleSoft (relation client), Siebel (CRM), E-Business Suite et les produits de la famille Sun Systems (Solaris, SPARC) bénéficient eux aussi de correctifs.
En complément, Oracle conseille d’appliquer les patchs diffusés depuis fin 2014 pour contrer la faille POODLE (CVE-2014-3566). Celle-ci peut permettre d’intercepter du trafic acheminé en SSL 3.0 – voire en TLS – entre un poste client et un serveur (via une attaque de type « man-in-the-middle » exploitant par exemple un point Wi-Fi malveillant), puis de le déchiffrer.
—— A voir aussi ——
Quiz ITespresso.fr : savez-vous où sont basés les grands groupes high-tech ?
Crédit photo : zimmytws – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…