IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Oracle corrige 136 failles de sécurité dont plusieurs sont exploitables sans authentification
La firme encourage vivement l'adoption des correctifs

Le , par Olivier Famien

181PARTAGES

7  0 
Oracle vient de publier des mises à jour de correctifs pour 49 de ses produits. Ces mises à jour considérées comme critiques par la firme contiennent pas moins de 136 nouveaux correctifs de sécurité. Elles viennent corriger un nombre important de failles détectées dans les produits d’Oracle parmi lesquels on peut citer les bases de données (Berkeley DB, MySQL), les produits de virtualisation Linux, Java SE, Solaris, les serveurs GlassFish, la suite d’application de tests, les produits pour la suite de collaboration, etc.

Bien que les détails pour l’exploitation de ces failles détectées n’aient pas été donnés, Oracle recommande toutefois d’appliquer dès que possible ces correctifs publiés. Et pour cause, « dans certains cas, il a été rapporté que les attaquants ont eu du succès parce que les clients ciblés n’avaient pas appliqué les correctifs d’Oracle qui étaient disponibles », a signalé Oracle.

En sus, Oracle fait remarquer que nombre de ces failles contenues dans les applications sont exploitables à distance. En parcourant la matrice des risques fournissant des informations sur la criticité des failles selon la version 2 du standard Common Vulnerability Scoring System (CVSS), on note que sept failles ont un score de 10.

Nous rappelons que CVSS est un standard classant la sévérité des failles selon des critères appelés métriques. Ces métriques sont au nombre de trois à savoir, la métrique de base, la métrique temporelle et la métrique environnementale. La pondération de ces métriques permet d’obtenir un score partant de 0 à 10, avec 10 comme le score ou le niveau de criticité maximum.

Pour obtenir les scores des failles qui viennent d’être corrigées, Oracle souligne qu’elle a utilisé les deux versions du standard CVSS, notamment la version 2 et la version 3. Les scores des failles peuvent être comparés en utilisant le rapport des deux versions. Toutefois, pour les prochaines mises à jour critiques des correctifs et alertes de sécurité, Oracle précise que seule la version 3.0 de CVSS sera utilisée pour décrire la sévérité des failles découvertes.

Aussi, convient-il de souligner qu’avec la version 3.0 de CVSS, aucune faille n’a atteint le score de 10. Mais ce n’est pas pour autant qu’on doit la considérer comme étant beaucoup plus souple, bien au contraire. En parcourant la matrice des risques générée avec la version 3.0, on note plus de failles critiques et celles ayant un haut niveau de sévérité par rapport à la version 2.0 de CVSS.

Et pour ce qui concerne les correctifs publiés, Oracle explique que cinq failles de sécurité ont été corrigées au niveau des serveurs de bases de données dont deux sont exploitables sans authentification. Au niveau de Fusion Middleware, 22 correctifs de failles ont été sortis et pour ces failles répertoriées, 21 peuvent être exploitées sans authentification. Du côté de Java SE, neuf nouvelles failles de sécurité ont été corrigées et elles, toutes peuvent être exploitées sans authentification. Mysql enregistre pour sa part 31 correctifs pour les failles détectées. Quatre d’entre elles peuvent être exploitées sans avoir besoin d’identifiants de la victime. Pour ce qui est de la suite des produits Oracle, 18 failles ont été corrigées avec 12 qui peuvent être exploitées sans authentification.

En dehors de ces produits, plusieurs autres failles ont été corrigées dont la plus ancienne date de 2011 avec pour code CVE-2011-4461. Elle permet à un attaquant de provoquer un déni de service en envoyant de nombreux paramètres particuliers à une table de hachage.

Source : Oracle

Et vous ?

Que pensez-vous du nombre relativement élevé de failles corrigées ? De quoi alarmer les utilisateurs des produits Oracle ?

Voir aussi

Forum Oracle

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Voyvode
Membre émérite https://www.developpez.com
Le 22/04/2016 à 11:55
Citation Envoyé par Aiekick Voir le message
elle devrait encourager l'abandon de java plutôt[…]
  • Racheter une société 7,4 milliards $ pour ensuite se débarrasser de son plus gros produit ?
  • Oracle n’a aucune raison d’abandonner Java qui n’est pas près de mourir, quoi qu’en pensent les détracteurs de ce langage.


Citation Envoyé par Aiekick Voir le message
[…]ou alors le revendre a quelqu'un qui sait ce qu'il fait et qui est compétant comme létait sun.
  • Java était dans un état catastrophique au moment du rachat de Sun : Java 6 avait déjà 4 ans et Java 7 était devenu une arlésienne vidée de ses projets les plus prometteurs.
  • L’épisode noir de Java 7 sur la sécurité est dû en partie à la mauvaise gestion de la sécurité par Oracle, mais certaines failles révélées notamment par Gowdiak étaient vieilles de 10 ans.
  • Oracle a restauré une certaine stabilité dans le rythme des versions (on pourra vraiment l’affirmer si Java 9 sort bien l’an prochain).
  • Le hiatus entre Oracle JDK et OpenJDK s’est en grande partie refermé, permettant de clarifier la situation sous Linux.


Tout n’est pas rose, évidemment. Le procès contre Google, le licenciement des évangélistes, l’apparent manque de coopération avec les fondations Java et le manque d’intérêt pour JavaFX trahissent que la gestion par Oracle peut être opaque et brutale. De là à parler d’incompétence et d’enterrer Java…
2  0 
Avatar de vampirella
Membre éclairé https://www.developpez.com
Le 22/04/2016 à 16:45
Merci pour l'info !

Citation Envoyé par Olivier Famien Voir le message
Que pensez-vous du nombre relativement élevé de failles corrigées ? De quoi alarmer les utilisateurs des produits Oracle ?
Tout produit informatique est voué à avoir des failles, puisqu'ils sont fait par des humains.
Mieux vaut le savoir tôt que tard Quant à savoir si ces failles auraient pu être détectées plus tôt... ma foi, c'est une autre discussion.
1  0 
Avatar de guive
Nouveau membre du Club https://www.developpez.com
Le 28/04/2016 à 3:50
Aiekick
un ordinateur ne peux donc pas faire d'erreurs d’après ce que tu dit ? on en reparlera dans quelques années quand les ia autonomes debarqueront
Un ordinateur ne fait pas d'erreur, il suit son exécution, donc si l'IA est mal programmé, pas de sa faute mais celle du dév
1  0 
Avatar de SQLpro
Rédacteur https://www.developpez.com
Le 28/04/2016 à 15:52
Citation Envoyé par Olivier Famien Voir le message
Que pensez-vous du nombre relativement élevé de failles corrigées ? De quoi alarmer les utilisateurs des produits Oracle ?
Qu'un éditeur corrige ses failles c'est bien. Mais combien en reste-il encore ?
Ce n'est d'ailleurs pas tant la correction des failles, mais son nombre important et la durée entre la découverte et la correction.
Et là malheureusement Oracle est très, très mauvais !

Ce n'est d'ailleurs pas entièrement de sa faute... Mais racheter des produits hyper bugués comme MySql est évidemment une problématique et Oracle y a sa part de responsabilité...

Toutes les études montre que Oracle qui se proclamait "unbreakable" est l'un des plus mauvais éditeur dans le domaine de l'informatique professionnelle.
Que ce soit au niveau des SGBD :
http://www.securityweek.com/massive-...-patch-tuesday
Comme des produits de bureautique :
https://insights.sei.cmu.edu/cert/20...penoffice.html

Cela ne date pas d'aujourd'hui et ne fait qu'empirer...
https://blogs.microsoft.com/cybertru...parison-paper/

A +
0  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 22/04/2016 à 17:16
un ordinateur ne peux donc pas faire d'erreurs d’après ce que tu dit ? on en reparlera dans quelques années quand les ia autonomes debarqueront
0  2 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 22/04/2016 à 0:20
elle devrait encourager l'abandon de java plutôt ou alors le revendre a quelqu'un qui sait ce qu'il fait et qui est compétant comme létait sun.
0  4