Pour gérer vos consentements :
Categories: CloudGestion cloud

Sécurité IT : Oracle fait dans la faille critique

Oracle ratisse large avec sa mise à jour de sécurité trimestrielle « Critical Patch Update » (CPU), qui résorbe 89 vulnérabilités dans 13 gammes de produits, dont 18 pour le seul MySQL et 16 pour Solaris.

Près de la moitié des failles refermées par cette nouvelle salve de correctifs sont considérées critiques : elles peuvent en l’occurrence occasionner une prise de contrôle à distance, le plus souvent sans authentification, généralement avec le niveau de privilèges de la session en cours.

En incluant les deux premiers CPU de l’année – diffusés en janvier et avril – et les soins exceptionnels régulièrement prodigués au greffon Java, Oracle a colmaté 343 brèches en 2013.

Quelle stratégie appliquer pour diffuser efficacement tous ces remèdes à l’échelle d’une entreprise ?

Il convient de prioriser les services exposés sur Internet et les brèches répertoriées comme les plus dangereuses (score élevé sur une échelle de 0 à 10), c’est-à-dire généralement celles exploitables à distance.

Illustration avec deux des vulnérabilités qui touchent MySQL (l’une d’entre elles, gratifiée d’un 9/10, est liée au parser XML), ainsi que celle qui touche Outside-In, cette composante d’Oracle Fusion utilisée notamment par Microsoft Exchange Server.

Le déploiement des autres correctifs, notamment ceux applicables à l’OS Solaris (note de 7,8 pour les failles découvertes dans le protocole TCP/IP et la gestion iSCSI), pourra s’effectuer dans un second temps.

Même réflexion pour les autres produits concernés : Enterprise Manager (gestionnaire de bases de données et serveurs d’applications), Hyperion (outils décisionnels collaboratifs), E-Business et PeopleSoft (progiciels de gestion).

Le middleware Fusion est quant à lui criblé de de 21 trous de sécurité… dont pas moins de 16 exploitables à distance, notamment celui répertorié CVE-2013-2461, relatif à la composante JRockit.

Dans le guide publié à destination des administrateurs, Oracle précise qu’en cas de contrariété dans le déploiement du patch, il est possible de minimiser les risques d’attaque en bloquant certains protocoles réseau ou en restreignant les droits utilisateur.

Au total, ce sont 18 experts en sécurité qui ont contribué à la découverte de ces failles… toujours plus nombreuses. Et il s’en inquiètent.

Chercheur pour le compte de l’éditeur britannique Tripwire, Craig Young explique : « ce déploiement quasi ininterrompu de correctifs est d’autant plus alarmant que les vulnérabilités sont signalées par des tiers qui n’ont théoriquement pas accès au code source des produits Oracle« .

—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous de la sécurité sur Internet ?

Crédit illustration : SH-Vector – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

3 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

5 mois ago