Oracle annonce pas moins de 101 ‘patchs’ !

En multipliant la profondeur de son offre, des bases de données aux applications, Oracle ne pouvait manquer de multiplier inévitablement les vulnérabilités, et donc les mises à jour.

Ce jour, Oracle met donc en ligne 101 patchs. Les bases de données cumulent 63 correctifs, les applications serveurs 14 correctifs, les suites e-business 13 correctifs. Quant à PeopleSoft et J.D. Edwards, ils occupent 9 corrections de vulnérabilités.

45 failles ont été identifiées comme ne nécessitant pas une authentification de l’attaquant pour être exploitables à distance. Elles marquent la volonté de l’éditeur d’informer ses clients sur les menaces. De même, pour la première fois Oracle accompagne ses mises à jour d’une documentation plus détaillée.

Avec cette documentation ? qui devrait permettre de simplifier l’identification des patchs à déployer et de « calculer les ressources requises » – l’éditeur accompagne ses mises à jour d’un nouveau système de classification des vulnérabilités, le CVSS (Common Vulnerability Scoring System), un standard émergeant de classification des failles de sécurité.

Comme précédemment, ces patchs sont cumulatifs. A l’exception de l’e-business, l’utilisateur qui les installera se protégera automatiquement des failles du trimestre, mais aussi de celles couvertes par les patchs qui ont précédé.

Un détail a cependant éveillé l’attention des experts en sécurité, certaines failles figurant aujourd’hui dans la liste des patchs d’Oracle semblent identiques à des failles supposées corrigées précédemment dans les bases de données? Une tendance à répéter les corrections qui a de quoi alarmer les utilisateurs !