Oracle corrige plus de 50 vulnérabilités

En août, Oracle annonçait sa volonté de diffuser mensuellement un bulletin de sécurité pour ses logiciels, à l’image de ce que fait Microsoft. Ce mardi, l’éditeur a donc inauguré ce nouveau programme de mises à jour avec son premier bulletin qui corrige plus de… 50 failles.

Selon le site spécialisé K-otik.com, ces failles de sécurité du type ‘buffer overflow’ et ‘SQL Injection’ sont pour la majorité qualifiées de « critiques ». Elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable sans aucune authentification préalable. Et de poursuivre: l’exploitation de ces vulnérabilités pourrait être facilitée dans un environnement où a été déployé Oracle Internet Directory, car son installation provoque la création d’un utilisateur par défaut (ODSCOMMON) ayant un mot de passe connu et inchangeable (ODSCOMMON). L’application des correctifs est par conséquent fortement recommandée. Les produits concernés sont: Oracle Database 10g Release 1, version 10.1.0.2 Oracle9i Database Server Release 2, versions 9.2.0.4 et 9.2.0.5 Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5 et 9.0.4 Oracle8i Database Server Release 3, version 8.1.7.4 Oracle Enterprise Manager Grid Control 10g, version 10.1.0.2 Oracle Enterprise Manager Database Control 10g, version 10.1.0.2 Oracle Application Server 10g (9.0.4), versions 9.0.4.0 et 9.0.4.1 Oracle9i Application Server Release 2, versions 9.0.2.3 et 9.0.3.1 Oracle9i Application Server Release 1, version 1.0.2.2