Oracle a patché plus de 300 bugs au mois de Janvier

Oracle a patché 334 vulnérabilités sur tout ses produits dans sa mise à jour de patchs critique de Janvier 2020. Parmi ces failles, 43 sont critiques et ont un score CVSS de 9,1 et plus haut. Cette mise a jour bat le record de patchs de Oracle datant de Juillet 2019 qui lui-même avait battue le précédent record de 308 patchs de Juillet 2017.

La compagnie avait annoncé que certaines vulnérabilités affectent plusieurs produits. “A cause de la menace posée par une attaque réussie, Oracle recommande à ses clients d’appliquer les patchs le plus vite possible,” ont-ils ajouté.

“Certaines vulnérabilités étaient exploitables à distance, ne nécessitant aucune donnée d’authentification et présentent donc un gros risque,” a déclaré Boris Cipot, ingénieur en sécurité chez Synopsys.

“De plus, il y avait des correctifs de base de données, de niveau système, Java et de virtualisation dans cette mise à jour. Ce sont des éléments critiques dans l’infrastructure d’une compagnie. Il faut quand même que les organisations prennent en compte l’impact que cette mise à jour pourrait avoir sur leurs systèmes et se préparent à l’indisponibilité de leurs services.”

Un nombre important de produits Oracle concernés

Ces patchs concernent plusieurs produits déployés par Oracle, y compris Oracle Database Server (12 vulnérabilités au total, 3 sont exploitables à distance sans authentification); Oracle Communications Applications (25 failles, 23 sont exploitables à distance, 6 sont critiques); Oracle Enterprise Manager (50 vulnérabilités, 10 sont exploitables à distance sans authentification, 4 sont critiques); Fusion Middleware (38 failles, 30 sont exploitables à distance sans authentification, 3 sont critiques); Oracle MySQL (19 patchs, 6 sont exploitables à distance sans authentification) et E-Business Suite (23 patchs, 21 sont exploitables à distance sans authentification, 2 sont critiques).

En ce qui concerne leurs plateformes de gestion de relation-client, il y’a 15 patchs pour PeopleSoft (12 sont exploitables à distance sans authentification, 2 sont critiques) et 5 patchs pour Siebel CRM (toutes exploitables à distance, 2 sont critiques).

Oracle a patché 12 bugs dans Oracle Construction and Engineering (8 sont exploitables à distance sans authentification, 2 sont critiques); 24 failles pour Financial Services Applications (6 sont exploitables à distance sans authentification); 1 bug pour Food and Beverage; 3 pour Health Sciences Applications (toutes exploitable à distance sans authentification, 3 sont critiques); 5 patchs pour Hospitality Applications (2 sont exploitables à distance sans authentification); un patch pour iLearning, 9 patchs pour JD Edwards, 4 patchs pour Utilities Applications et 22 patchs pour Retail Applications.

On note aussi 17 patchs pour Oracle Systems, 2 patchs pour Hyperion, 8 patchs pour Supply Chain, 5 patchs pour GraalVM et 22 patchs pour Virtualization.

Et pour finir, il y’a aussi eu 12 patchs de sécurité pour Java SE. Ces dernières vulnérabilités sont exploitables à distance sans authentification et sont importantes quand un utilisateur exécutant un applet Java ou une application Java Web Start a des privilèges d’administrateurs.

“Les utilisateurs devraient seulement utiliser les versions par défaut de Java Plug-in et Java Web Start de JDK ou JRE 8,” selon Oracle.

“Il y’a tellement de chose à analyser dans plus de 300 patchs,” a expliqué Dustin Childs, directeur de Zero-Day Initiative. “Si vous êtes un sysadmin d’Oracle, il est recommandé de se concentrer sur les patchs qui peuvent être exploité sans action de l’utilisateur et ne nécessite pas d’authentification. Les bugs CVE-2020-11058 et CVE-2019-2904 devraient rendre nerveux les administrateurs de base de données Oracle. Il y’a aussi plusieurs patchs pour adresser des bugs datant de 2016, 2017 et 2018.”

oracle

Les autres chercheurs se sont aussi penchés sur les autres failles que la mise à jour adresse.

“Les organisations ne doivent pas ignorer les patchs de sécurité distribués par Oracle,” a déclaré Chris Hass, directeur de la recherche et de la sécurité de l’information de Automox. “CVE-2019-10072 [dans Oracle Database Server], par exemple, existe depuis un bon moment maintenant, est facilement exploitable et permet à un individu non-authentifié avec un accès réseau via HTTP pour compromettre Workload Manager (Apache Tomcat).”

Il a ajouté, “Ce qui est inquiétant c’est que la vulnérabilité est connue du grand public depuis plus de 2 ans mais elle n’est adressée que maintenant. En se basant sur mon expérience, je recommanderais aux organisations qui utilisent ce produit de faire un audit complet de leur infrastructure pour s’assurer que cette vulnérabilité n’a pas été exploité pour compromettre leurs systèmes.”

Cela vient donc s’ajouter aux Patchs Tuesday de Adobe et Microsoft qui ont été distribués ce mois-ci.