Les responsables sécurité des entreprises vont avoir du pain sur la planche dans les prochains jours. Oracle vient d’émettre sa mise à jour de sécurité trimestrielle et il s’agit de la plus importante éditée à ce jour. Elle corrige 276 bugs concernant 84 produits. De plus, beaucoup des vulnérabilités corrigées affichent des scores de criticité (CVSS) de 9 ou supérieur. On en recense 19 avec un score de 9,8.
Pour Amol Sarwate, responsable des failles chez Qualys, la priorité pour les responsables IT est le patch concernant Java SE qui bouche 13 problèmes de sécurité dont 9 critiques. Le spécialiste rappelle que Java est utilisé dans beaucoup d’applications.
Pour les administrateurs de bases de données, la priorité est de mettre à jour MySQL avec 22 bugs corrigés et Database server qui neutralise 9 bugs. Amol Sarwate constate que les bases de données ne sont pas exposées directement à Internet, mais il s’agit « des joyaux de la couronne » des sociétés et il faut donc les protéger rapidement.
Sur la partie serveur web, il est préconisé de corriger en premier HTTP Server, WebLogic Server et GlassFish Server. Ils sont inclus dans Fusion Middleware qui comprend 39 vulnérabilités pansées dont 35 sont exploitables à distance sans authentification. Ces composants touchent aussi d’autres produits Oracle comme Enterprise Manager Grid Control, E-Business Suite et les solutions de Supply Chain.
Sur la branche OS et réseau, une attention particulière devra être portée sur Solaris et Linux, ainsi que les blades Sun et les switches. Ces composants se retrouvent dans la suite de produits Oracle Sun Systems qui affiche 34 failles dont 21 exploitables sans authentification.
Pour les verticaux et les métiers, il faut être attentif aux correctifs concernant PeopleSoft, Siebel CRM et JD Edwards, ainsi qu’aux solutions pour les services financiers, santé, assurance, etc.
Du travail en perspective.
A lire aussi :
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…