Pour sa collection de correctifs de sécurité de printemps, Oracle n’a pas ménagé ses efforts. L’entreprise de Redwood Shores a corrigé pas moins de 299 vulnérabilités constatées dans l’ensemble de ses solutions à travers son Critical Patch Update (CPU) trimestriel. Un record selon ERPScan (le précédent s’élevait à 276 vulnérabilités en juillet 2016). Des correctifs qu’Oracle recommande vivement d’appliquer dans les meilleurs délais alors que l’éditeur reconnaît que « dans certains cas, des attaques réussies ont été signalées parce que les clients ciblés n’avaient pas appliqué les correctifs Oracle disponibles ». Les clients sont prévenus, s’ils sont attaqués, c’est de leur faute.
Sur ces près de 300 brèches de sécurité, une centaine sont exploitables à distance sans nécessiter d’authentification. Il suffit à l’attaquant d’attirer sa victime sur une page web infectieuse où de lancer une attaque à distance selon le produit concerné. C’est notamment le cas du composant PHP, de Oracle WebCenter Sites, Fusion Middleware MapViewer, WebLogic Server, Hyperion Essbase, Enterprise Manager Base Platform, PeopleSoft Enterprise PeopleTools ou encore des suites E-Business, JD Edwards, Communication, Commerce, Retail, et de produits Financial Services.
Oracle Financial Services Applications, Oracle Retail Application et Oracle MySQL sont les solutions les plus concernées de ce bulletin avec 47 correctifs pour la première et 39 pour les deux suivantes respectivement. Java, régulièrement utilisé par les outils d’installation de malwares, se voit appliquer 8 patches, dont 7 de ces vulnérabilités permettent une exploitation à distance.
Oracle a également corrigé les 25 instances de la vulnérabilité Apache Struts massivement exploitée. Le prestataire en services de sécurité Qualys rappelle que cette vulnérabilité « pourrait permettre à un attaquant distant de prendre le contrôle total du serveur exécutant Struts ». Notamment sur Oracle Financial Services Applications, WebCenter, WebLogic, Siebel, Oracle Communications, MySQL et Oracle Retail. Pas moins de 162 brèches de sécurité sont ainsi concernées.
Autre correction majeure, celle de Solaris 10 et 11.3 qui comble la vulnérabilité CVE-2017-3622 exploitable par l’outil ExtremeParr des Shadow Brockers, le groupe qui a dérobé les outils de la NSA et les diffuse au compte goutte. Une faille révélée la semaine dernière. Qualys rassure en rappelant que « l’autre vulnérabilité des Shadow Brockers CVE-2017-3623 (baptisée Ebbisland ou Ebbshave) a déjà été abordée par Oracle dans plusieurs distributions de patch Solaris 10 publiées depuis le 26 janvier 2012 et n’affecte pas Solaris 11 ». Sauf pour les entreprises qui n’ont pas appliqué les patches.
Lire également
Un sysadmin plastique la base Oracle de son ex-employeur
Bons résultats pour Oracle, en pleine transition vers le Cloud
Oracle remet le couvert contre Google sur les API Java
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
