Chaque trimestre, les entreprises décortiquent avec inquiétude le Critical Patch Update d’Oracle pour savoir quels produits sont concernés. La livraison trimestrielle de janvier 2017 corrige pas moins de 270 problèmes de sécurité qui touchent un large éventail de produits, comme le montre le graphique ci-dessous proposé par Qualys.
Amol Sawarte, le CTO de Qualys, recense, dans un billet de blog, « plus de 100 failles pouvant être utilisées pour une attaque à distance et ne nécessitant aucun identifiant. Et les vulnérabilités les plus importantes peuvent être exploitées via le protocole http ».
Oracle Application concentre une grande partie des correctifs. On comptabilise ainsi 121 mises à jour pour la E-Business Suite (EBS), dont 118 sont exploitables à distance sans authentification. Selon ERPscan, « une attaque réussie contre EBS donne à un attaquant la possibilité de voler et de manipuler différents types d’informations stratégiques, selon les modules installés dans une entreprise ».
Sur le plan de la criticité, 16 patchs obtiennent la note élevée de 9 sur le référentiel CVSS v3.0, dont 3 dédiés à Java : CVE 2017-3289, 2017-3272, 2017-3241. Une faille affectant les versions 8.2, 8.3, 8.4, 15.1, 15.2, 16.1 et 16.2 de Primavera P6 Enterprise Project Portfolio Management affiche une note de 10, soit le maximum sur cette échelle de notation.
Java est relativement épargné ce trimestre avec seulement 17 patchs touchant Java SE, SE Embedded et JRockit. Qualys recommande d’appliquer ces mises à jouren priorité. La partie Database ne comprend que 2 patchs. Par contre, 27 brèches de sécurité MySQL sont colmatées. Les experts constatent que les vulnérabilités sur MySQL sont en forte progression depuis 2014. « En 2016, il y a eu 30 % de failles en plus sur MySQL », explique Qualys.
Cette livraison trimestrielle se place en seconde position en termes de nombre de correctifs, derrière le record de juillet 2016 (276 patchs). Depuis janvier 2016, Oracle a déjà livré 4 Critical Patch Update dépassant chacun les 200 correctifs.
A lire aussi :
Base de données : MySQL et Microsoft SQL Server menacent Oracle database
Audits de Java SE : 6 ans après le rachat de Sun, Oracle présente la facture
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.