Oracle colmate près de 300 failles pour son Critical Patch Update

Bases de donnéesCloudData & StockageDSIERPLogicielsMiddlewarePolitique de sécuritéProjetsSécuritéServeurs

Dans son bulletin d’avril, Oracle corrige la vulnérabilité Apache Struts ainsi que ExtremParr des Shadow Brokers, notamment.

Pour sa collection de correctifs de sécurité de printemps, Oracle n’a pas ménagé ses efforts. L’entreprise de Redwood Shores a corrigé pas moins de 299 vulnérabilités constatées dans l’ensemble de ses solutions à travers son Critical Patch Update (CPU) trimestriel. Un record selon ERPScan (le précédent s’élevait à 276 vulnérabilités en juillet 2016). Des correctifs qu’Oracle recommande vivement d’appliquer dans les meilleurs délais alors que l’éditeur reconnaît que « dans certains cas, des attaques réussies ont été signalées parce que les clients ciblés n’avaient pas appliqué les correctifs Oracle disponibles ». Les clients sont prévenus, s’ils sont attaqués, c’est de leur faute.

Une centaine de failles exploitable à distance

Sur ces près de 300 brèches de sécurité, une centaine sont exploitables à distance sans nécessiter d’authentification. Il suffit à l’attaquant d’attirer sa victime sur une page web infectieuse où de lancer une attaque à distance selon le produit concerné. C’est notamment le cas du composant PHP, de Oracle WebCenter Sites, Fusion Middleware MapViewer, WebLogic Server, Hyperion Essbase, Enterprise Manager Base Platform, PeopleSoft Enterprise PeopleTools ou encore des suites E-Business, JD Edwards, Communication, Commerce, Retail, et de produits Financial Services.

Le cercle des vulnérabilités Oracle d'avril 2017 tracé par Qualys.
Le cercle des vulnérabilités Oracle d’avril 2017 tracé par Qualys.

Oracle Financial Services Applications, Oracle Retail Application et Oracle MySQL sont les solutions les plus concernées de ce bulletin avec 47 correctifs pour la première et 39 pour les deux suivantes respectivement. Java, régulièrement utilisé par les outils d’installation de malwares, se voit appliquer 8 patches, dont 7 de ces vulnérabilités permettent une exploitation à distance.

Les failles Solaris et Apache Struts corrigées

Oracle a également corrigé les 25 instances de la vulnérabilité Apache Struts massivement exploitée. Le prestataire en services de sécurité Qualys rappelle que cette vulnérabilité « pourrait permettre à un attaquant distant de prendre le contrôle total du serveur exécutant Struts ». Notamment sur Oracle Financial Services Applications, WebCenter, WebLogic, Siebel, Oracle Communications, MySQL et Oracle Retail. Pas moins de 162 brèches de sécurité sont ainsi concernées.

Autre correction majeure, celle de Solaris 10 et 11.3 qui comble la vulnérabilité CVE-2017-3622 exploitable par l’outil ExtremeParr des Shadow Brockers, le groupe qui a dérobé les outils de la NSA et les diffuse au compte goutte. Une faille révélée la semaine dernière. Qualys rassure en rappelant que « l’autre vulnérabilité des Shadow Brockers CVE-2017-3623 (baptisée Ebbisland ou Ebbshave) a déjà été abordée par Oracle dans plusieurs distributions de patch Solaris 10 publiées depuis le 26 janvier 2012 et n’affecte pas Solaris 11 ». Sauf pour les entreprises qui n’ont pas appliqué les patches.


Lire également
Un sysadmin plastique la base Oracle de son ex-employeur
Bons résultats pour Oracle, en pleine transition vers le Cloud
Oracle remet le couvert contre Google sur les API Java

Katherine Welles / Shutterstock.com

Lire la biographie de l´auteur  Masquer la biographie de l´auteur