Oracle : A vos patchs, prêts, partez !

Dans le cadre de son cycle de patchs trimestriel, la société Oracle vient d’annoncer mardi la disponibilité immédiate de 65 correctifs de sécurité qui concernent plusieurs de ses produits.

La plupart des vulnérabilités associées sont critiques : ainsi « 27 des 65 failles peuvent être exploitées à distance » explique Darius Wiles, responsable des alertes Sécurité chez Oracle. Le plus étonnant est qu’Oracle n’a suggéré aucune solution de contournement pour ces failles. Au lieu de cela, l’éditeur incite fortement ses clients à mettre à jour leurs systèmes. « Nous fixons les vulnérabilités par ordre de sévérité », poursuit Darius Wiles. « Les patchs que vous retrouvez au sein du Critical Patch Update sont les plus importants. Nous suggérons fortement à nos clients d’appliquer ces patches dès qu’ils peuvent ». En addition de ces failles serveurs, Oracle a également publié 4 patches corrigeant des vulnérabilités au sein de ses applications clientes qui tournent sur PCs, et qui sont considérées comme sévères, car elles ne nécessitent aucune authentification et peuvent être exploitées à distance. Lors du dernier CPU d’avril, Oracle s’est vu reprocher par ses clients et certains spécialistes de ne pas publier les patches de sécurité pour l’ensemble de ses produits de manière simultanée. Il semble que l’éditeur ait décidé cette fois de s’atteler à ce problème en sortant (presque) tous ces patchs de manière simultanée. « Lors du cycle de juillet 2006, Oracle a corrigé près de 250 failles sur différentes plateformes. Environ 10 correctifs ne sont toujours pas disponibles à ce jour, mais le seront dans les prochains jours. Certains nécessiteront un peu plus de temps » précise Wiles. Rappelons tout de même que par le passé, Oracle ne s’est pas particulièrement montré comme un modèle de rapidité quand il s’agissait de corriger des failles de sécurité, furent-elles découvertes par l’éditeur lui-même ou par des spécialistes indépendants comme David Litchfield, Pete Finnigan ou encore Alexander Kornbrust. Il semblerait que l’éditeur de Redwood ait envie de se défaire de cette image. Reste maintenant à régler le problème de la qualité intrinsèque des patchs fournis, dont certains ont dû être modifiés une bonne demi-douzaine de fois lors d’un précédent CPU. Donc à vos marques, prêts, testez, validez, étudiez, analysez et patchez … mais vite !