Pour gérer vos consentements :

Pour sa collection de correctifs de sécurité de printemps, Oracle n’a pas ménagé ses efforts. L’entreprise de Redwood Shores a corrigé pas moins de 299 vulnérabilités constatées dans l’ensemble de ses solutions à travers son Critical Patch Update (CPU) trimestriel. Un record selon ERPScan (le précédent s’élevait à 276 vulnérabilités en juillet 2016). Des correctifs qu’Oracle recommande vivement d’appliquer dans les meilleurs délais alors que l’éditeur reconnaît que « dans certains cas, des attaques réussies ont été signalées parce que les clients ciblés n’avaient pas appliqué les correctifs Oracle disponibles ». Les clients sont prévenus, s’ils sont attaqués, c’est de leur faute.

Une centaine de failles exploitable à distance

Sur ces près de 300 brèches de sécurité, une centaine sont exploitables à distance sans nécessiter d’authentification. Il suffit à l’attaquant d’attirer sa victime sur une page web infectieuse où de lancer une attaque à distance selon le produit concerné. C’est notamment le cas du composant PHP, de Oracle WebCenter Sites, Fusion Middleware MapViewer, WebLogic Server, Hyperion Essbase, Enterprise Manager Base Platform, PeopleSoft Enterprise PeopleTools ou encore des suites E-Business, JD Edwards, Communication, Commerce, Retail, et de produits Financial Services.

Le cercle des vulnérabilités Oracle d’avril 2017 tracé par Qualys.

Oracle Financial Services Applications, Oracle Retail Application et Oracle MySQL sont les solutions les plus concernées de ce bulletin avec 47 correctifs pour la première et 39 pour les deux suivantes respectivement. Java, régulièrement utilisé par les outils d’installation de malwares, se voit appliquer 8 patches, dont 7 de ces vulnérabilités permettent une exploitation à distance.

Les failles Solaris et Apache Struts corrigées

Oracle a également corrigé les 25 instances de la vulnérabilité Apache Struts massivement exploitée. Le prestataire en services de sécurité Qualys rappelle que cette vulnérabilité « pourrait permettre à un attaquant distant de prendre le contrôle total du serveur exécutant Struts ». Notamment sur Oracle Financial Services Applications, WebCenter, WebLogic, Siebel, Oracle Communications, MySQL et Oracle Retail. Pas moins de 162 brèches de sécurité sont ainsi concernées.

Autre correction majeure, celle de Solaris 10 et 11.3 qui comble la vulnérabilité CVE-2017-3622 exploitable par l’outil ExtremeParr des Shadow Brockers, le groupe qui a dérobé les outils de la NSA et les diffuse au compte goutte. Une faille révélée la semaine dernière. Qualys rassure en rappelant que « l’autre vulnérabilité des Shadow Brockers CVE-2017-3623 (baptisée Ebbisland ou Ebbshave) a déjà été abordée par Oracle dans plusieurs distributions de patch Solaris 10 publiées depuis le 26 janvier 2012 et n’affecte pas Solaris 11 ». Sauf pour les entreprises qui n’ont pas appliqué les patches.


Lire également
Un sysadmin plastique la base Oracle de son ex-employeur
Bons résultats pour Oracle, en pleine transition vers le Cloud
Oracle remet le couvert contre Google sur les API Java

Katherine Welles / Shutterstock.com

Recent Posts

Qui utilise (vraiment) les outils low code et no code ?

Près de 5 développeurs sur 10 utilisent des outils low / no code. Mais pour…

17 heures ago

DevSecOps : Snyk nomme Adi Sharabani CTO

Snyk a recruté Adi Sharabani au poste de chief technology officer. Il encadre l'évolution technique…

17 heures ago

JavaScript : Meta bascule Jest en open source

Meta a officiellement transféré Jest, son framework de test, à la Fondation OpenJS. Celle-ci s’engage…

18 heures ago

Avec Viva Goals, Microsoft rassemble les collaborateurs autour des objectifs business

Microsoft continue d’étoffer sa plateforme Viva, dédiée à l’expérience collaborateur, en lançant Viva Goals, un…

19 heures ago

Développeurs : Google Cloud pousse Assured OSS

Google Cloud va distribuer un catalogue de bibliothèques logicielles open source approuvées par ses soins.…

21 heures ago

Informatique quantique : BMW renforce sa collaboration avec Pasqal

Le groupe BMW et la start up Pasqal étendent leur collaboration pour concevoir des pièces…

23 heures ago