Les responsables sécurité des entreprises vont avoir du pain sur la planche dans les prochains jours. Oracle vient d’émettre sa mise à jour de sécurité trimestrielle et il s’agit de la plus importante éditée à ce jour. Elle corrige 276 bugs concernant 84 produits. De plus, beaucoup des vulnérabilités corrigées affichent des scores de criticité (CVSS) de 9 ou supérieur. On en recense 19 avec un score de 9,8.
Pour Amol Sarwate, responsable des failles chez Qualys, la priorité pour les responsables IT est le patch concernant Java SE qui bouche 13 problèmes de sécurité dont 9 critiques. Le spécialiste rappelle que Java est utilisé dans beaucoup d’applications.
Pour les administrateurs de bases de données, la priorité est de mettre à jour MySQL avec 22 bugs corrigés et Database server qui neutralise 9 bugs. Amol Sarwate constate que les bases de données ne sont pas exposées directement à Internet, mais il s’agit « des joyaux de la couronne » des sociétés et il faut donc les protéger rapidement.
Sur la partie serveur web, il est préconisé de corriger en premier HTTP Server, WebLogic Server et GlassFish Server. Ils sont inclus dans Fusion Middleware qui comprend 39 vulnérabilités pansées dont 35 sont exploitables à distance sans authentification. Ces composants touchent aussi d’autres produits Oracle comme Enterprise Manager Grid Control, E-Business Suite et les solutions de Supply Chain.
Sur la branche OS et réseau, une attention particulière devra être portée sur Solaris et Linux, ainsi que les blades Sun et les switches. Ces composants se retrouvent dans la suite de produits Oracle Sun Systems qui affiche 34 failles dont 21 exploitables sans authentification.
Pour les verticaux et les métiers, il faut être attentif aux correctifs concernant PeopleSoft, Siebel CRM et JD Edwards, ainsi qu’aux solutions pour les services financiers, santé, assurance, etc.
Du travail en perspective.
A lire aussi :
Oracle toujours investi dans Java EE
Database : Oracle déjà dans une logique purement Cloud
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…