Oracle corrige pas moins de 154 failles dans Database, Fusion, Java, MySQL…

Oracle livre son Critical Patch Update trimestriel. La firme corrige pas moins de 154 failles de sécurité de nombre de ses produits.

Sont concernés : Oracle Database, Java SE, MySQL, Oracle Fusion Middleware, Oracle Industry Applications (dont Oracle Communications Applications et Oracle Retail Applications), Hyperion, Oracle Enterprise Manager, E-Business Suite, Oracle Supply Chain Products Suite, PeopleSoft Enterprise, Siebel CRM, Sun Systems Products Suite, Pillar Axiom et Virtualization.

Certaines vulnérabilités ont décroché le score maximal de 10.0. Cela signifie qu’elles sont exploitables à distance, sans authentification préalable et que leur utilisation compromettra entièrement le système. Des vulnérabilités d’une importance extrême donc. Sur les 8 failles corrigées dans Oracle Database, une est exploitable à distance et affiche la note de 10.

Java et MySQL « à l’honneur »

Autre morceau de choix, Java SE, avec 25 vulnérabilités, dont 24 sont exploitables à distance sans authentification préalable et 7 décrochent la fameuse note de 10. L’une d’entre elles avait été utilisée plus tôt dans l’année par un groupe de cyberespions russes.

Notez qu’il nous a fallu mettre à jour manuellement Java SE. L’installeur nous a proposé de retirer la version précédente de Java, du fait de failles de sécurité importantes. Une procédure nouvelle… mais déficiente. De fait, après cette opération, il s’avère que les fichiers relatifs à Java SE 8u60 sont toujours présents sur notre machine de test.

Belle moisson également pour MySQL, avec 30 corrections de failles de sécurité, dont 2 exploitables à distance sans authentification préalable, mais aucune n’obtenant le score de 10. Notez qu’Oracle vient tout juste de présenter la version 5.7 de cette solution Open Source de bases de données. Voir à ce propos notre article « Performances et réplication avancée au menu de MySQL 5.7 ».

Prudence avec Oracle Fusion et Oracle Communications

Oracle Fusion Middleware a droit à 23 failles éliminées, mais aucune au score de 10.0. Notez toutefois que 16 vulnérabilités restent exploitables à distance sans authentification. Le risque demeure donc assez important.

Oracle Industry Applications se distingue lui aussi du lot, avec un total de 14 vulnérabilités, dont 13 exploitables à distance sans authentification. Le risque est ici maximal. Oracle Communications Applications a ainsi droit à 9 failles, dont 8 exploitables à distance et 5 décrochant le fameux 10.0, signe d’une gravité extrême. Oracle Retail Applications corrige 4 vulnérabilités, toutes utilisables à distance.

Poursuivons :

Oracle Hyperion : 1 faille, non exploitable à distance.
Oracle Enterprise Manager : 5 failles, dont 3 exploitables à distance sans authentification.
Oracle E-Business Suite : 12 failles, dont 6 utilisables à distance sans authentification.
Oracle Supply Chain Products Suite : 8 failles, dont 3 exploitables à distance sans authentification.
Oracle PeopleSoft Enterprise : 8 failles, dont 1 seule exploitable à distance sans authentification.
Oracle Siebel CRM : 1 unique faille corrigée, mais exploitable à distance sans authentification.
Oracle Sun Systems Products Suite : 15 failles, dont 4 exploitables à distance sans authentification et 1 décrochant la note de 10.0.
Oracle Pillar Axiom : 1 unique faille corrigée, mais exploitable à distance sans authentification et affichant un score de 10.0.
Oracle Virtualization : 3 failles, dont 1 exploitable à distance sans authentification.