Une série de patchs de sécurité pour Oracle

Oracle publie ses correctifs de sécurité sous forme de bulletins trimestriels. Ce processus a un nom, le Critical Patch Update (CPU). Le CPU du 20 avril 2008 est en ligne à cette adresse. Il apporte 41 correctifs de sécurité (certains sont communs à plusieurs logiciels), pour les produits Oracle suivants :

– Oracle Database : 16 dont 1 exploitable à distance sans les paramètres de connexion

– Application Express : 2 dont 1 exploitable à distance sans les paramètres de connexion

– Application Server : 5 dont 3 exploitables à distance sans les paramètres de connexion

– Collaboration Suite : 1, inexploitable à distance sans les paramètres de connexion

– E-Business Suite : 11 dont 7 exploitables (!) à distance sans les paramètres de connexion

– Enterprise Manager : 1, inexploitable à distance (faille locale)

– PeopleSoft Enterprise : 3, inexploitables à distance sans les paramètres de connexion

– Siebel Enterprise : 6 dont la moitié exploitable à distance sans les paramètres de connexion

Le détail précis de ces failles n’est pas fourni par Oracle. La compagnie signale toutefois que devant la gravité de certaines vulnérabilités, ses clients doivent appliquer cette série de patchs immédiatement. De fait, une écrasante majorité de ces failles est exploitableviaun protocole réseau. Pour un tiers d’entre elles, les paramètres de connexion n’ont même pas besoin d’être connus de l’attaquant.

Pour information, le prochain CPU sortira le 15 juillet 2008.