169 failles de sécurité chez Oracle

Oracle démarre l’année avec un bulletin de sécurité record qui touche l’ensemble des produits de la firme. Et comble une backdoor dans E-Business Suite.

Oracle a publié un bulletin trimestriel de sécurité record hier, mardi 20 janvier. Pas moins de 169 vulnérabilités y sont répertoriées… et corrigées. Bien plus que les 154 d’octobre et 113 de juillet derniers. De Database à MySQL en passant par Fusion Middleware, PeopleSoft, JD Edwards, Siebel ou Java, quasiment aucun des produits majeurs d’Oracle n’est épargné.

36 failles de sécurité touchent Oracle Fusion Middleware dont les plus sévères sont notées 9,3 (sur 10). Deux d’entre elles permettent la prise de contrôle du serveur qui héberge l’intergiciel. Moins affecté, Database compte 8 trous de sécurité. Si aucun ne permet une exploitation à distance sans authentification, un certain nombre d’entre eux restent sévères, souligne Oracle dans son billet de blog.

Une porte dérobée dans E-Business Suite

Côté applications, E-Business Suite se voit menacé par une dizaine de brèches, 6 pour Supply Chain Suite, 7 pour PeopleSoft Enterprise, une seule du côté de JDEdwards EnterpriseOne, mais 17 pour Siebel CRM, et 2 pour Oracle iLearning. E-Business Suite est particulièrement sur le grill avec une faille qui remonte à un an et permet l’accès aux contenus des bases de données par les attaquants. En découvrant la vulnérabilité chez un client, l’expert en sécurité David Litchfield a même pensé qu’il s’agissait d’une porte dérobée laissée par un pirate. « Après enquête; il s’avère que la backdoor fait partie de l’installation initiale, indique-t-il dans un Tweet. J’étais sidéré. Je le suis toujours. »

« En raison de la gravité de ces problèmes, Oracle recommande fortement d’appliquer les correctifs pour les systèmes affectés dès que possible », incite l’éditeur. Cela va sans dire.


Lire également
Oracle tancé pour ses audits agressifs et ses licences complexes
Patch Tuesday : Bye-Bye pré-notification sauf aux clients Premium
5 mois après : le bilan de la faille Heartbleed

crédit photo © Scisetti Alfio – shutterstock