Oracle n’est pas loin du record de failles corrigées au sein du Critical Patch Update. La dernière édition qui date du 14 juillet suivant ainsi le mouvement du Patch Tuesday de Microsoft, recense 193 correctifs. Rappelons que ce Critical Patch est délivré trimestriellement. Cette mise à jour de sécurité massive cible en partie des vulnérabilités (44) sur des composants tiers intégrés dans les produits Oracle. C’est le cas de deux d’entre eux qui ont fait parler, Qemu et Glibc.
Le premier a été victime de l’attaque dite Venom, (Virtualized Environment Neglected Operations Manipulation). Un expert en sécurité de la société CrowdStrike, Jason Geffner a trouvé une faille de type zero day en menant une analyse de sécurité sur différentes hyperviseurs. Le coupable est l’hyperviseur Open Source QEMU (Quick Emulator) et plus exactement dans le contrôleur de disquette virtuelle (floppy disk controller). Les attaquants pouvaient réaliser un débordement de mémoire pour avoir accès aux VM.
Le second est à mettre au crédit de Qualys avec la découverte d’une faille de sécurité critique touchant la glibc, la bibliothèque C de base des systèmes Linux. La vulnérabilité Ghost permet de prendre le contrôle d’un système à distance, sans même connaître ses identifiants administrateur. Cette vulnérabilité a obtenu le score de 10 dans l’échelle de criticité d’Oracle.
Parmi les produits touchés par cette méga ordonnance d’Oracle en juillet, la base de données enregistre 10 correctifs dont deux permettant un contrôle à distance sans authentification. Une de ces failles obtient la note de 9 en niveau de criticité dans le classement CVSS pour les environnements Windows et la note de 7,5 pour les plateformes Linux et Unix. Les solutions de middleware Fusion ont le droit à un traitement de cheval avec 39 correctifs dont 36 éradiquent des exploits à distance sans authentification. Dans les produits bénéficiant d’un grand lot de patchs, Berkeley-DB en recense 25 à égalité avec Java. Ce dernier intègre notamment la faille zero-day publiée en début de semaine par Trend Micro utilisée par les cyberattaquants de Pawn Storm ou APT28.
D’autres applications Oracle sont concernées par les mises à jour de sécurité. E-Business Suite embarque 13 correctifs, Supply Chain Suite 7, PeopleSoft Entreprise 8, 5 pour Siebel et 2 pour Commerce Platform.
A lire aussi :
Oracle chiffre les données des machines virtuelles de VirtualBox 5.0
Securitas Direct : Oracle scrute des millions de signaux d’objets connectés
Microsoft affirme que l'accord européen de 2009 a donné à CrowdStrike les clés du noyau…
Déjà Président du conseil d'administration, l'ex banquier Jean-Pierre Mustier est nommé directeur général d'Atos. Il…
Le Financial Times rapporte qu'OpenAI était en pourparlers avec des concepteurs de semi-conducteurs, dont Broadcom,…
En première ligne pour subir les cyberattaques, les TPE/PME sont aussi les moins bien formées…
La Cour des comptes estime que la Dinum doit construire sa légitimité, autant au vu…
La Cour des comptes pointe les « résultats contrastés » de la Dinum sur son…