Oracle s’apprête à publier 147 patchs de sécurité

La mise à jour attendue ce mardi, l’une des plus massives de ces derniers mois, portera principalement sur Java avec 36 corrections de vulnérabilités.

Oracle a lancé une pré-annonce de la prochaine mise à jour critique Oracle Critical Patch Update de ses produits, qui devrait être rendue accessible ce mardi 14 janvier 2014. Un Critical Patch Update est une collection de mises à jour (patch) qui viennent corriger de multiples vulnérabilités. En la matière, celle d’aujourd’hui mérite bien son qualificatif de critique, les 147 patchs annoncés viennent corriger 144 vulnérabilités, certaines d’entre elles affectant plusieurs produits.

La dernière mise à jour massive d’Oracle, en octobre 2013, alignait 127 patchs dont 51 pour le seul Java.

Oracle exploite le standard CVSS 2.0 pour déterminer le niveau de risque associé à chaque vulnérabilité. CVSS (Common Vulnerability Scoring System) définit une matrice de risques qui fournit une notation (scoring) des bugs, assimilée à un calcul de la sévérité des vulnérabilités de sécurité. Les corrections CPU (Critical Patch Update) se voient affecter une valeur de 0.0 à 10.0 – qui prend en compte les conditions et la facilité d’exploitation d’une vulnérabilité, et son impact sur la confidentialité, l’intégrité et la disponibilité en cas de succès de l’attaque – et sont ensuite classées selon les résultats de cette grille, qui sert donc à définir un degré de dangerosité.

Java SE en tête des correctifs

36 mises à jour de la dernière livraison concernent Java SE, dont 34 corrigent un risque d’attaque sur le réseau sans qu’une authentification soit nécessaire. 25 correctifs se rattachent à des produits au catalogue d’Oracle Fusion Middleware, dont WebCenter et GlassFish Server, dont 22 corrigent menacent à distance et sans qu’il soit nécessaire de déclarer un nom et d’entrer un mot de passe. 18 concernent MySQL, 17 des applications PeopleSoft, 16 les logiciels de supply chain, 11 Solaris, 9 la virtualisation, et 5 la base de données Oracle.

Sur les mises à jours annoncées ce jour, la valeur 10.0 dans la base CVSS 2.0 des vulnérabilités a été atteinte par Java SE, Java SE Embedded et JRockit of Oracle Java SE, MySQL Enterprise Monitor of Oracle MySQL, Oracle FLEXCUBE Private Banking of Oracle Financial Services Software , et Oracle WebCenter Sites of Oracle Fusion Middleware.

Les produits du catalogue Oracle concernés :

Oracle Database 11g Release 1, version 11.1.0.7

Oracle Database 11g Release 2, versions 11.2.0.3, 11.2.0.4

Oracle Database 12c Release 1, version 12.1.0.1

Oracle Fusion Middleware 11g Release 1, versions 11.1.1.6, 11.1.1.7

Oracle Fusion Middleware 11g Release 2, versions 11.1.2.0, 11.1.2.1

Oracle Fusion Middleware 12c Release 2, version 12.1.2

Oracle Enterprise Data Quality, versions 8.1, 9.0.8

Oracle Forms and Reports 11g, Release 2, version 11.1.2.1

Oracle GlassFish Server, version 2.1.1, Sun Java Application Server, versions 8.1, 8.2

Oracle HTTP Server 11g, versions 11.1.1.6, 11.1.1.7

Oracle HTTP Server 12c, version 12.1.2

Oracle Identity Manager, versions 11.1.1.5, 11.1.1.7, 11.1.2.0, 11.1.2.1

Oracle Internet Directory, versions 11.1.1.6, 11.1.1.7

Lire aussi : L’offre GenAI d’Oracle en cinq points

Oracle iPlanet Web Proxy Server, version 4.0

Oracle iPlanet Web Server, versions 6.1, 7.0

Oracle Outside In Technology, versions 8.4.0, 8.4.1

Oracle Portal, version 11.1.1.6

Oracle Reports Developer, versions 11.1.1.6, 11.1.1.7, 11.1.2.1

Oracle Traffic Director, versions 11.1.1.6, 11.1.1.7

Oracle WebCenter Portal versions 11.1.1.6.0, 11.1.1.7.0, 11.1.1.8.0

Oracle WebCenter Sites versions 11.1.1.6.1, 11.1.1.8.0

Hyperion Essbase Administration Services, versions 11.1.2.1, 11.1.2.2, 11.1.2.3

Hyperion Strategic Finance, versions 11.1.2.1, 11.1.2.2

Oracle E-Business Suite Release 11i, version 11.5.10.2

Oracle E-Business Suite Release 12i, versions 12.0.6, 12.1.1, 12.1.2, 12.1.3

Oracle Agile Product Lifecycle Management for Process, versions 6.0, 6.1, 6.1.1

Oracle AutoVue Electro-Mechanical Professional, versions 20.1.1, 20.2.2

Oracle Demantra Demand Management, versions 7.3.1, 12.2.1, 12.2.2, 12.2.3

Oracle Transportation Management, versions 5.5.06, 6.0, 6.1, 6.2, 6.3, 6.3.1, 6.3.2

Oracle PeopleSoft Enterprise HRMS, versions 9.1.0, 9.2.0

Oracle PeopleSoft Enterprise HRMS Human Resources, versions 9.1, 9.2

Lire aussi : Oracle se lie à Microsoft jusqu’au datacenter

Oracle PeopleSoft Enterprise PeopleTools, versions 8.52, 8.53

Oracle PeopleSoft Enterprise SCM Services Procurement, version 9.2

Oracle Siebel Core, versions 8.1.1, 8.2.2

Oracle Siebel Life Sciences, versions 8.1.1, 8.2.2

Oracle iLearning, version 6.0

Oracle FLEXCUBE Private Banking, versions 1.7, 2.0, 2.0.1, 2.2.0.1, 3.0, 12.0.1, 12.0.2

Oracle JavaFX, versions 2.2.45 and earlier

Oracle Java JDK and JRE, versions 5.0u55 and earlier, 6u65 and earlier, 7u45 and earlier

Oracle Java SE Embedded, versions 7u45 and earlier

Oracle JRockit, versions R27.7.7 and earlier, R28.2.9 and earlier

Oracle Solaris versions 8, 9, 10, 11.1

Oracle Secure Global Desktop, versions 4.63.x, 4.71.x, 5.0.x, 5.10

Oracle VM VirtualBox, versions prior to 3.2.20, 4.0.22, 4.1.30, 4.2.20, 4.3.6

Oracle MySQL Enterprise Monitor, versions 2.3, 3.0

Oracle MySQL Server, versions 5.1, 5.5, 5.6

Lire également
Les 3 raisons qui font de Java la technologie de tous les dangers

Lire aussi : Oracle active son « cloud public souverain » dans l’UE