Oracle n’est pas loin du record de failles corrigées au sein du Critical Patch Update. La dernière édition qui date du 14 juillet suivant ainsi le mouvement du Patch Tuesday de Microsoft, recense 193 correctifs. Rappelons que ce Critical Patch est délivré trimestriellement. Cette mise à jour de sécurité massive cible en partie des vulnérabilités (44) sur des composants tiers intégrés dans les produits Oracle. C’est le cas de deux d’entre eux qui ont fait parler, Qemu et Glibc.
Le premier a été victime de l’attaque dite Venom, (Virtualized Environment Neglected Operations Manipulation). Un expert en sécurité de la société CrowdStrike, Jason Geffner a trouvé une faille de type zero day en menant une analyse de sécurité sur différentes hyperviseurs. Le coupable est l’hyperviseur Open Source QEMU (Quick Emulator) et plus exactement dans le contrôleur de disquette virtuelle (floppy disk controller). Les attaquants pouvaient réaliser un débordement de mémoire pour avoir accès aux VM.
Le second est à mettre au crédit de Qualys avec la découverte d’une faille de sécurité critique touchant la glibc, la bibliothèque C de base des systèmes Linux. La vulnérabilité Ghost permet de prendre le contrôle d’un système à distance, sans même connaître ses identifiants administrateur. Cette vulnérabilité a obtenu le score de 10 dans l’échelle de criticité d’Oracle.
Parmi les produits touchés par cette méga ordonnance d’Oracle en juillet, la base de données enregistre 10 correctifs dont deux permettant un contrôle à distance sans authentification. Une de ces failles obtient la note de 9 en niveau de criticité dans le classement CVSS pour les environnements Windows et la note de 7,5 pour les plateformes Linux et Unix. Les solutions de middleware Fusion ont le droit à un traitement de cheval avec 39 correctifs dont 36 éradiquent des exploits à distance sans authentification. Dans les produits bénéficiant d’un grand lot de patchs, Berkeley-DB en recense 25 à égalité avec Java. Ce dernier intègre notamment la faille zero-day publiée en début de semaine par Trend Micro utilisée par les cyberattaquants de Pawn Storm ou APT28.
D’autres applications Oracle sont concernées par les mises à jour de sécurité. E-Business Suite embarque 13 correctifs, Supply Chain Suite 7, PeopleSoft Entreprise 8, 5 pour Siebel et 2 pour Commerce Platform.
A lire aussi :
Oracle chiffre les données des machines virtuelles de VirtualBox 5.0
Securitas Direct : Oracle scrute des millions de signaux d’objets connectés
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…