Pour gérer vos consentements :

Chaque trimestre, les entreprises décortiquent avec inquiétude le Critical Patch Update d’Oracle pour savoir quels produits sont concernés. La livraison trimestrielle de janvier 2017 corrige pas moins de 270 problèmes de sécurité qui touchent un large éventail de produits, comme le montre le graphique ci-dessous proposé par Qualys.

Amol Sawarte, le CTO de Qualys, recense, dans un billet de blog, « plus de 100 failles pouvant être utilisées pour une attaque à distance et ne nécessitant aucun identifiant. Et les vulnérabilités les plus importantes peuvent être exploitées via le protocole http ».

Oracle Application concentre une grande partie des correctifs. On comptabilise ainsi 121 mises à jour pour la E-Business Suite (EBS), dont 118 sont exploitables à distance sans authentification. Selon ERPscan, « une attaque réussie contre EBS donne à un attaquant la possibilité de voler et de manipuler différents types d’informations stratégiques, selon les modules installés dans une entreprise ».

Java épargné, MySQL de plus en plus visé

Sur le plan de la criticité, 16 patchs obtiennent la note élevée de 9 sur le référentiel CVSS v3.0, dont 3 dédiés à Java : CVE 2017-3289, 2017-3272, 2017-3241. Une faille affectant les versions 8.2, 8.3, 8.4, 15.1, 15.2, 16.1 et 16.2 de Primavera P6 Enterprise Project Portfolio Management affiche une note de 10, soit le maximum sur cette échelle de notation.

Java est relativement épargné ce trimestre avec seulement 17 patchs touchant Java SE, SE Embedded et JRockit. Qualys recommande d’appliquer ces mises à jouren priorité. La partie Database ne comprend que 2 patchs. Par contre, 27 brèches de sécurité MySQL sont colmatées. Les experts constatent que les vulnérabilités sur MySQL sont en forte progression depuis 2014. « En 2016, il y a eu 30 % de failles en plus sur MySQL », explique Qualys.

Cette livraison trimestrielle se place en seconde position en termes de nombre de correctifs, derrière le record de juillet 2016 (276 patchs). Depuis janvier 2016, Oracle a déjà livré 4 Critical Patch Update dépassant chacun les 200 correctifs.

A lire aussi :

Base de données : MySQL et Microsoft SQL Server menacent Oracle database

Audits de Java SE : 6 ans après le rachat de Sun, Oracle présente la facture

Crédit Photo : Bryan Solomon-Shutterstock

Recent Posts

Cambridge Analytica, le retour : Zuckerberg poursuivi aux États-Unis

Un procureur américain considère Mark Zuckerberg personnellement responsable des conséquences de l’affaire Cambridge Analytica sur…

22 heures ago

ITSM : EasyVista change avec Patrice Barbedette CEO

Patrice Barbedette (ex-Oracle) pilote la nouvelle phase de croissance d'EasyVista en Europe et à l'international,…

22 heures ago

Gestion de données : Databricks muscle sa direction juridique

Databricks a recruté sa responsable juridique et vice-présidente chez DocuSign pour soutenir l'exigence de conformité…

1 jour ago

Microsoft Build 2022 : beaucoup d’IA…et du Metavers au menu

A l’occasion de Build, sa conférence annuelle dédiée aux développeurs, Microsoft a fait la part…

1 jour ago

Taxe GAFA : pas avant 2023…au mieux

Très attendue, la réforme de taxation internationale des géants du numérique - dite taxe GAFA…

1 jour ago

DevOps : GitLab 15 parie gros sur l’observabilité

Avec la v15 de sa plateforme, GitLab ambitionne d'améliorer sa proposition de valeur dans la…

2 jours ago