Oracle s’attaque à 405 failles de sécurité au mois d’Avril

Les administrateurs d’Oracle devront s’attendre à une énorme mise à jour trimestrielle contenant des patchs pour 405 failles de sécurité.

Le géant des logiciels d’entreprise Oracle Corp. a révélé que 286 de ces vulnérabilités sont exploitables à distance et sont associées à près de deux douzaines de lignes de produits.

oracle

Quels logiciels d’Oracle sont concernés?

Selon l’annonce de la version préliminaire de la mise à jour de sécurité concernant les patchs d’Avril, publiée par la société, 13 produits Oracle, y compris Financial Services Applications, Oracle MySQL, Retail Applications et Support Tools, sont concernés par plusieurs failles de sécurité critiques qui ont une note CVSS de 9,8 sur 10.

Chaque faille sera corrigée avec des conseils de mitigation ou des correctifs distribués par la compagnie américaine. Cela soumettra les administrateurs système et réseau à une charge de travail considérable pour patcher toutes ces vulnérabilités critiques.

À lui seul, le logiciel Fusion Middleware contient 49 «vulnérabilités [qui] peuvent être exploitées à distance sans authentification, c’est-à-dire peuvent être exploitées sur un réseau sans avoir besoin des informations d’identification de l’utilisateur», selon le bulletin de sécurité.

Le géant américain a déclaré au total que sa famille de logiciels Fusion Middleware comprend 56 nouveaux correctifs de sécurité affectant près de 20 services connexes, notamment Identity Manager Connector (version 9.0), Big Data Discovery (version 1.6) et WebCenter Portal (version 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0).

Cette mise à jour gigantesque comprend également des failles de gravité moyenne pour sa plate-forme Java, édition standard (Java SE), utilisée pour développer et déployer des applications Java. Quinze failles, avec une note CVSS de 8,5, sont exploitables à distance par un individu non authentifié sur un réseau – aucun identifiant utilisateur requis.

Les détails des failles Java SE, ainsi que les informations techniques et les conseils de mitigation pour les 405 failles, seront disponibles prochainement.

oracle

L’entreprise américaine également corrigé 34 failles de sécurité critiques dans la suite d’applications Financial Services, dont 14 sont exploitables à distance. Quarante-cinq vulnérabilités dans Oracle MySQL ont été identifiés, neuf étant exploitables à distance et ont une note CVSS de 9,8.

La gamme populaire de serveurs de bases de données d’Oracle ne comportait que neuf failles de sécurité, deux sont exploitables à distance et ont une note CVSS de 8,0. Comme pour de nombreux autres produits Oracle impactés par des failles ce trimestre, Oracle a déclaré qu’aucune des failles de sécurité du serveur de base de données “ne s’applique aux installations client uniquement, c’est-à-dire aux installations sur lesquelles le serveur de base de données Oracle n’est pas installé.”

Si cet article vous a plu, jetez un œil à notre article précédent.