Sécurité IT : Oracle corrige 78 failles affectant des centaines de produits

Oracle va mettre en ligne, durant la semaine, un nouveau CPU (Critical Patch Update) massif, avec 78 correctifs qui concernent ses bases de données, middlewares et applications.

Les failles les plus dangereuses, selon l’éditeur, sont exploitables à distance et sans authentification.

27 sont réservées à la base de données MySQL (Silicon.fr note que l’on ignore si elles proviennent de la communauté ou des équipes de l’éditeur), 2 à la base de données Oracle Database Server – dont une permet d’attaquer via le réseau, sans nom ni mot de passe – et 11 à Fusion Middleware.

C’est le plus petit nombre de correctifs sur la base de données Oracle depuis le lancement de CPU en 2005, et l’on peut s’interroger sur des retards pris par l’éditeur pour corriger des failles découvertes voici quelque temps et qui semblent pourtant simples à éliminer.

Sur les applicatifs, 3 mises à jour concerneront E-Business Suite, 1 la Supply Chain, 6 People Soft et 8 JD Edwards.

Sun, acquis en 2010, a également son lot de correctifs : 17, dont 6 concernent GlassFish Enterprise Server, Oracle Communications Unified, Oracle OpenSSO et le système d’exploitation Solaris.

Oracle utilise une échelle de classement de ses vulnérabilités, le CVSS 2.0 (Common Vulnerability Scoring System), et la faille dans l’OS Solaris atteint le score très élevé de 7,8.

Enfin, 3 mises à jour seront dédiées à la technologie de virtualisation d’Oracle, dont VirtualBox.

Certaines failles présentant un risque sérieux, l’application de ces correctifs devra être réalisée rapidement. Notez que les patches apportés à Java ne figurent pas dans le programme CPU.

Logo : © SL-66 – Fotolia.com