Oracle corrige 402 failles dans sa mise à jour d’Octobre

Le géant des logiciels d’entreprise Oracle recommande à ses clients de mettre à jour leurs systèmes avec les correctifs sortis au mois d’Octobre qui corrige 402 vulnérabilités dans diverses familles de produits.

Plus de la moitié (272) de ces failles rendent les produits vulnérables à une exploitation à distance sans authentification. Cela signifie que la faille peut être exploitée sur un réseau sans nécessiter les informations d’identification de l’utilisateur.

La majorité des failles se trouvent dans les applications Financial Services (53), MySQL (53), Communications (52), Fusion Middleware (46), Retail Applications (28) et E-Business Suite (27). Mais dans l’ensemble, 27 familles de produits Oracle sont affectées par ces failles. Les utilisateurs peuvent trouver un document de disponibilité des correctifs pour chaque produit, disponible ici.

oracle

«Oracle continue de recevoir périodiquement des rapports de tentatives d’exploitation malveillante de vulnérabilités pour lesquelles ils ont déjà publié des correctifs de sécurité», selon le communiqué de la société. «Dans certains cas, il a été signalé que les attaquants avaient réussi parce que les clients ciblés n’avaient pas réussi à appliquer les correctifs disponibles. Oracle recommande donc vivement aux clients de conserver les versions activement prises en charge et d’appliquer sans délai les correctifs de sécurité Critical Patch Update. »

Bien que les détails des failles elles-mêmes soient rares, deux des vulnérabilités critiques révélées par Oracle ont le score de gravité le plus élevé – 10 sur 10 – sur l’échelle CVSS.

Il s’agit notamment d’une faille dans le composant d’analyse d’Oracle Healthcare Foundation, qui est une plate-forme unifiée d’analyse de la santé faisant partie de la suite Health Science Applications. La faille (CVE-2020-1953), qui peut être exploitée à distance sans nécessiter d’informations d’identification de l’utilisateur, ne nécessite aucune interaction de l’utilisateur et est facile à exploiter. Les versions prises en charge concernées incluent 7.1.1, 7.2.0, 7.2.1 et 7.3.0.

oracle

La deuxième faille grave (CVE-2020-14871) existe dans le module d’authentification de Solaris, son système d’exploitation d’entreprise pour les applications Oracle Database et Java (qui fait partie de la matrice des risques d’Oracle Systems). La faille est également exploitable à distance sans informations d’identification de l’utilisateur, ne nécessite aucune interaction de l’utilisateur et constitue une attaque de «faible complexité». Les versions 10 et 11 sont concernées.

Soixante-cinq des vulnérabilités avaient également un score CVSS de 9,8 (et six failles avaient un score de 9,4) sur 10, ce qui les rendait critiques en termes de gravité.

Oracle a proposé des solutions de contournement, indiquant que pour les attaques nécessitant certains privilèges ou l’accès à certains packages, la suppression des privilèges ou la possibilité d’accéder aux packages d’utilisateurs qui n’en ont pas besoin peut aider à réduire le risque d’attaque réussie. Les utilisateurs peuvent également réduire le risque d’attaque réussie en bloquant les protocoles réseau requis par une attaque.

Cependant, ces deux approches peuvent interrompre la fonctionnalité de l’application et Oracle ne recommande pas que l’une ou l’autre approche soit considérée comme une solution à long terme car aucune ne corrige le problème sous-jacent.

«En raison de la menace posée par une attaque réussie, Oracle recommande vivement aux clients d’appliquer les correctifs de sécurité Critical Patch Update dès que possible», selon la société.

Les mises à jour de sécurité trimestrielles d’Oracle

Oracle sort ses mises à jours de sécurité régulières le mardi le plus proche du 17ème jour des mois de Janvier, Avril, Juillet et Octobre.

Les mises à jour trimestrielles précédentes ont corrigé des centaines de vulnérabilités dans les gammes de produits de la société, dont une en Avril qui corrigeait 405 failles. Il existe également des mises à jour non-régulières; en Mai, par exemple, Oracle a averti qu’une faille critique d’exécution de code à distance dans son serveur WebLogic était activement exploitée dans la nature.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x