Avec le Critical Patch, Oracle corrige Java, Venom et Ghost

Jacques Cheminat,

Le Critical Patch de juillet est particulièrement chargé avec la résolution de 193 failles trouvées dans les différentes solutions d’Oracle. On notera les correctifs de Venom et de Ghost, ainsi que de la récente vulnérabilité sur Java.

Oracle n’est pas loin du record de failles corrigées au sein du Critical Patch Update. La dernière édition qui date du 14 juillet suivant ainsi le mouvement du Patch Tuesday de Microsoft, recense 193 correctifs. Rappelons que ce Critical Patch est délivré trimestriellement. Cette mise à jour de sécurité massive cible en partie des vulnérabilités (44) sur des composants tiers intégrés dans les produits Oracle. C’est le cas de deux d’entre eux qui ont fait parler, Qemu et Glibc.

Venom et Ghost corrigés

Le premier a été victime de l’attaque dite Venom, (Virtualized Environment Neglected Operations Manipulation). Un expert en sécurité de la société CrowdStrike, Jason Geffner a trouvé une faille de type zero day en menant une analyse de sécurité sur différentes hyperviseurs. Le coupable est l’hyperviseur Open Source QEMU (Quick Emulator) et plus exactement dans le contrôleur de disquette virtuelle (floppy disk controller). Les attaquants pouvaient réaliser un débordement de mémoire pour avoir accès aux VM.

Le second est à mettre au crédit de Qualys avec la découverte d’une faille de sécurité critique touchant la glibc, la bibliothèque C de base des systèmes Linux. La vulnérabilité Ghost permet de prendre le contrôle d’un système à distance, sans même connaître ses identifiants administrateur. Cette vulnérabilité a obtenu le score de 10 dans l’échelle de criticité d’Oracle.

Java, Fusion et database massivement patchés

Parmi les produits touchés par cette méga ordonnance d’Oracle en juillet, la base de données enregistre 10 correctifs dont deux permettant un contrôle à distance sans authentification. Une de ces failles obtient la note de 9 en niveau de criticité dans le classement CVSS pour les environnements Windows et la note de 7,5 pour les plateformes Linux et Unix. Les solutions de middleware Fusion ont le droit à un traitement de cheval avec 39 correctifs dont 36 éradiquent des exploits à distance sans authentification. Dans les produits bénéficiant d’un grand lot de patchs, Berkeley-DB en recense 25 à égalité avec Java. Ce dernier intègre notamment la faille zero-day publiée en début de semaine par Trend Micro utilisée par les cyberattaquants de Pawn Storm ou APT28.

D’autres applications Oracle sont concernées par les mises à jour de sécurité. E-Business Suite embarque 13 correctifs, Supply Chain Suite 7, PeopleSoft Entreprise 8, 5 pour Siebel et 2 pour Commerce Platform.

A lire aussi :

Oracle chiffre les données des machines virtuelles de VirtualBox 5.0

Securitas Direct : Oracle scrute des millions de signaux d’objets connectés

Crédit Photo : Bryan Solomon-Shutterstock