Oracle livre une ordonnance de sécurité de 270 patchs
Chaque trimestre, les entreprises décortiquent avec inquiétude le Critical Patch Update d'Oracle pour savoir quels produits sont concernés. La livraison trimestrielle de janvier 2017 corrige pas moins de 270 problèmes de sécurité qui touchent un large éventail de produits, comme le montre le graphique ci-dessous proposé par Qualys.
Amol Sawarte, le CTO de Qualys, recense, dans un billet de blog, « plus de 100 failles pouvant être utilisées pour une attaque à distance et ne nécessitant aucun identifiant. Et les vulnérabilités les plus importantes peuvent être exploitées via le protocole http ».
Oracle Application concentre une grande partie des correctifs. On comptabilise ainsi 121 mises à jour pour la E-Business Suite (EBS), dont 118 sont exploitables à distance sans authentification. Selon ERPscan, « une attaque réussie contre EBS donne à un attaquant la possibilité de voler et de manipuler différents types d'informations stratégiques, selon les modules installés dans une entreprise ».
Java épargné, MySQL de plus en plus visé
Sur le plan de la criticité, 16 patchs obtiennent la note élevée de 9 sur le référentiel CVSS v3.0, dont 3 dédiés à Java : CVE 2017-3289, 2017-3272, 2017-3241. Une faille affectant les versions 8.2, 8.3, 8.4, 15.1, 15.2, 16.1 et 16.2 de Primavera P6 Enterprise Project Portfolio Management affiche une note de 10, soit le maximum sur cette échelle de notation.
Java est relativement épargné ce trimestre avec seulement 17 patchs touchant Java SE, SE Embedded et JRockit. Qualys recommande d'appliquer ces mises à jouren priorité. La partie Database ne comprend que 2 patchs. Par contre, 27 brèches de sécurité MySQL sont colmatées. Les experts constatent que les vulnérabilités sur MySQL sont en forte progression depuis 2014. « En 2016, il y a eu 30 % de failles en plus sur MySQL », explique Qualys.
Cette livraison trimestrielle se place en seconde position en termes de nombre de correctifs, derrière le record de juillet 2016 (276 patchs). Depuis janvier 2016, Oracle a déjà livré 4 Critical Patch Update dépassant chacun les 200 correctifs.
Lire aussi : IaaS : Google, plus "visionnaire" que les autres ?
A lire aussi :
Base de données : MySQL et Microsoft SQL Server menacent Oracle database
Audits de Java SE : 6 ans après le rachat de Sun, Oracle présente la facture
Crédit Photo : Bryan Solomon-Shutterstock
Sur le même thème
Voir tous les articles Data & IA