Pour gérer vos consentements :

Pour sa collection de correctifs de sécurité de printemps, Oracle n’a pas ménagé ses efforts. L’entreprise de Redwood Shores a corrigé pas moins de 299 vulnérabilités constatées dans l’ensemble de ses solutions à travers son Critical Patch Update (CPU) trimestriel. Un record selon ERPScan (le précédent s’élevait à 276 vulnérabilités en juillet 2016). Des correctifs qu’Oracle recommande vivement d’appliquer dans les meilleurs délais alors que l’éditeur reconnaît que « dans certains cas, des attaques réussies ont été signalées parce que les clients ciblés n’avaient pas appliqué les correctifs Oracle disponibles ». Les clients sont prévenus, s’ils sont attaqués, c’est de leur faute.

Une centaine de failles exploitable à distance

Sur ces près de 300 brèches de sécurité, une centaine sont exploitables à distance sans nécessiter d’authentification. Il suffit à l’attaquant d’attirer sa victime sur une page web infectieuse où de lancer une attaque à distance selon le produit concerné. C’est notamment le cas du composant PHP, de Oracle WebCenter Sites, Fusion Middleware MapViewer, WebLogic Server, Hyperion Essbase, Enterprise Manager Base Platform, PeopleSoft Enterprise PeopleTools ou encore des suites E-Business, JD Edwards, Communication, Commerce, Retail, et de produits Financial Services.

Le cercle des vulnérabilités Oracle d’avril 2017 tracé par Qualys.

Oracle Financial Services Applications, Oracle Retail Application et Oracle MySQL sont les solutions les plus concernées de ce bulletin avec 47 correctifs pour la première et 39 pour les deux suivantes respectivement. Java, régulièrement utilisé par les outils d’installation de malwares, se voit appliquer 8 patches, dont 7 de ces vulnérabilités permettent une exploitation à distance.

Les failles Solaris et Apache Struts corrigées

Oracle a également corrigé les 25 instances de la vulnérabilité Apache Struts massivement exploitée. Le prestataire en services de sécurité Qualys rappelle que cette vulnérabilité « pourrait permettre à un attaquant distant de prendre le contrôle total du serveur exécutant Struts ». Notamment sur Oracle Financial Services Applications, WebCenter, WebLogic, Siebel, Oracle Communications, MySQL et Oracle Retail. Pas moins de 162 brèches de sécurité sont ainsi concernées.

Autre correction majeure, celle de Solaris 10 et 11.3 qui comble la vulnérabilité CVE-2017-3622 exploitable par l’outil ExtremeParr des Shadow Brockers, le groupe qui a dérobé les outils de la NSA et les diffuse au compte goutte. Une faille révélée la semaine dernière. Qualys rassure en rappelant que « l’autre vulnérabilité des Shadow Brockers CVE-2017-3623 (baptisée Ebbisland ou Ebbshave) a déjà été abordée par Oracle dans plusieurs distributions de patch Solaris 10 publiées depuis le 26 janvier 2012 et n’affecte pas Solaris 11 ». Sauf pour les entreprises qui n’ont pas appliqué les patches.


Lire également
Un sysadmin plastique la base Oracle de son ex-employeur
Bons résultats pour Oracle, en pleine transition vers le Cloud
Oracle remet le couvert contre Google sur les API Java

Katherine Welles / Shutterstock.com

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

5 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

5 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

9 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

12 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

14 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago