Pour sa collection de correctifs de sécurité de printemps, Oracle n’a pas ménagé ses efforts. L’entreprise de Redwood Shores a corrigé pas moins de 299 vulnérabilités constatées dans l’ensemble de ses solutions à travers son Critical Patch Update (CPU) trimestriel. Un record selon ERPScan (le précédent s’élevait à 276 vulnérabilités en juillet 2016). Des correctifs qu’Oracle recommande vivement d’appliquer dans les meilleurs délais alors que l’éditeur reconnaît que « dans certains cas, des attaques réussies ont été signalées parce que les clients ciblés n’avaient pas appliqué les correctifs Oracle disponibles ». Les clients sont prévenus, s’ils sont attaqués, c’est de leur faute.
Sur ces près de 300 brèches de sécurité, une centaine sont exploitables à distance sans nécessiter d’authentification. Il suffit à l’attaquant d’attirer sa victime sur une page web infectieuse où de lancer une attaque à distance selon le produit concerné. C’est notamment le cas du composant PHP, de Oracle WebCenter Sites, Fusion Middleware MapViewer, WebLogic Server, Hyperion Essbase, Enterprise Manager Base Platform, PeopleSoft Enterprise PeopleTools ou encore des suites E-Business, JD Edwards, Communication, Commerce, Retail, et de produits Financial Services.
Oracle Financial Services Applications, Oracle Retail Application et Oracle MySQL sont les solutions les plus concernées de ce bulletin avec 47 correctifs pour la première et 39 pour les deux suivantes respectivement. Java, régulièrement utilisé par les outils d’installation de malwares, se voit appliquer 8 patches, dont 7 de ces vulnérabilités permettent une exploitation à distance.
Oracle a également corrigé les 25 instances de la vulnérabilité Apache Struts massivement exploitée. Le prestataire en services de sécurité Qualys rappelle que cette vulnérabilité « pourrait permettre à un attaquant distant de prendre le contrôle total du serveur exécutant Struts ». Notamment sur Oracle Financial Services Applications, WebCenter, WebLogic, Siebel, Oracle Communications, MySQL et Oracle Retail. Pas moins de 162 brèches de sécurité sont ainsi concernées.
Autre correction majeure, celle de Solaris 10 et 11.3 qui comble la vulnérabilité CVE-2017-3622 exploitable par l’outil ExtremeParr des Shadow Brockers, le groupe qui a dérobé les outils de la NSA et les diffuse au compte goutte. Une faille révélée la semaine dernière. Qualys rassure en rappelant que « l’autre vulnérabilité des Shadow Brockers CVE-2017-3623 (baptisée Ebbisland ou Ebbshave) a déjà été abordée par Oracle dans plusieurs distributions de patch Solaris 10 publiées depuis le 26 janvier 2012 et n’affecte pas Solaris 11 ». Sauf pour les entreprises qui n’ont pas appliqué les patches.
Lire également
Un sysadmin plastique la base Oracle de son ex-employeur
Bons résultats pour Oracle, en pleine transition vers le Cloud
Oracle remet le couvert contre Google sur les API Java
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
