Oracle corrige 136 failles de sécurité dont plusieurs sont exploitables sans authentification

La firme encourage vivement l'adoption des correctifs

Oracle vient de publier des mises à jour de correctifs pour 49 de ses produits. Ces mises à jour considérées comme critiques par la firme contiennent pas moins de 136 nouveaux correctifs de sécurité. Elles viennent corriger un nombre important de failles détectées dans les produits d’Oracle parmi lesquels on peut citer les bases de données (Berkeley DB, MySQL), les produits de virtualisation Linux, Java SE, Solaris, les serveurs GlassFish, la suite d’application de tests, les produits pour la suite de collaboration, etc.

Bien que les détails pour l’exploitation de ces failles détectées n’aient pas été donnés, Oracle recommande toutefois d’appliquer dès que possible ces correctifs publiés. Et pour cause, « dans certains cas, il a été rapporté que les attaquants ont eu du succès parce que les clients ciblés n’avaient pas appliqué les correctifs d’Oracle qui étaient disponibles », a signalé Oracle.

En sus, Oracle fait remarquer que nombre de ces failles contenues dans les applications sont exploitables à distance. En parcourant la matrice des risques fournissant des informations sur la criticité des failles selon la version 2 du standard Common Vulnerability Scoring System (CVSS), on note que sept failles ont un score de 10.

Nous rappelons que CVSS est un standard classant la sévérité des failles selon des critères appelés métriques. Ces métriques sont au nombre de trois à savoir, la métrique de base, la métrique temporelle et la métrique environnementale. La pondération de ces métriques permet d’obtenir un score partant de 0 à 10, avec 10 comme le score ou le niveau de criticité maximum.

Pour obtenir les scores des failles qui viennent d’être corrigées, Oracle souligne qu’elle a utilisé les deux versions du standard CVSS, notamment la version 2 et la version 3. Les scores des failles peuvent être comparés en utilisant le rapport des deux versions. Toutefois, pour les prochaines mises à jour critiques des correctifs et alertes de sécurité, Oracle précise que seule la version 3.0 de CVSS sera utilisée pour décrire la sévérité des failles découvertes.

Aussi, convient-il de souligner qu’avec la version 3.0 de CVSS, aucune faille n’a atteint le score de 10. Mais ce n’est pas pour autant qu’on doit la considérer comme étant beaucoup plus souple, bien au contraire. En parcourant la matrice des risques générée avec la version 3.0, on note plus de failles critiques et celles ayant un haut niveau de sévérité par rapport à la version 2.0 de CVSS.

Et pour ce qui concerne les correctifs publiés, Oracle explique que cinq failles de sécurité ont été corrigées au niveau des serveurs de bases de données dont deux sont exploitables sans authentification. Au niveau de Fusion Middleware, 22 correctifs de failles ont été sortis et pour ces failles répertoriées, 21 peuvent être exploitées sans authentification. Du côté de Java SE, neuf nouvelles failles de sécurité ont été corrigées et elles, toutes peuvent être exploitées sans authentification. Mysql enregistre pour sa part 31 correctifs pour les failles détectées. Quatre d’entre elles peuvent être exploitées sans avoir besoin d’identifiants de la victime. Pour ce qui est de la suite des produits Oracle, 18 failles ont été corrigées avec 12 qui peuvent être exploitées sans authentification.

En dehors de ces produits, plusieurs autres failles ont été corrigées dont la plus ancienne date de 2011 avec pour code CVE-2011-4461. Elle permet à un attaquant de provoquer un déni de service en envoyant de nombreux paramètres particuliers à une table de hachage.

Source : Oracle

Et vous ?

Que pensez-vous du nombre relativement élevé de failles corrigées ? De quoi alarmer les utilisateurs des produits Oracle ?

Voir aussi

Forum Oracle