Sécurité : Oracle publie 98 correctifs et les dernières mises à jour publiques pour Java 7

crédit photo © Scisetti Alfio - shutterstock

Aussi réglé que le Patch Tuesday de Microsoft, le Critical Patch Update d’Oracle vient de tomber. L’édition d’avril 2015 recense 98 correctifs de sécurité. Dans le détail, MySQL est l’offre la plus corrigée (26 patchs), suivie de Fusion Middleware (17), Supply Chain Suite (7), PeopleSoft Enterprise (6), E-Business Suite (4) , Database (4), Commerce Platform (2), Retail Industry Suite (2), Health Sciences Applications (1), JDEdwards EnterpriseOne (1), Siebel CRM (1). Certaines des failles corrigées étaient exploitables à distance sans authentification.

On notera que Java comprend 14 correctifs de sécurité. Ils comblent notamment 3 failles disposant d’un score de 10 sur l’échelle du Common Vulnerability Scoring System (CVSS). Cela signifie que leur exploitation peut s’effectuer à distance sans authentification avec la capacité de modifier la sécurité et l’intégrité des systèmes. Douze de ces failles impactent le client Java et peuvent donc être déclenchées sur le Web depuis les plug-in des navigateurs.

Fin des mises à jour publiques pour Java7

Avec cette mise à jour de sécurité, il s’agit du dernier update gratuit pour Java 7. Les prochaines mises à jour ne seront disponibles que pour les clients disposant de contrats de support spécifiques. Oracle invite donc les utilisateurs à migrer sans tarder vers Java 8 et principalement la version u45. Dans la plupart des cas cette migration s’est faite de manière automatique depuis janvier 2015.

Oracle rappelle que Java 7u79 et 7u80 sont les dernières versions publiques de Java 7. Pour les réfractaires, Brian Kerbs rappelle sur son blog que l’on peut très bien se passer de Java (soit en le supprimant ou en le désactivant) ou alors, si Java reste indispensable, de prévoir un autre navigateur uniquement dédié à cette activité.