Chaque trimestre, les entreprises décortiquent avec inquiétude le Critical Patch Update d’Oracle pour savoir quels produits sont concernés. La livraison trimestrielle de janvier 2017 corrige pas moins de 270 problèmes de sécurité qui touchent un large éventail de produits, comme le montre le graphique ci-dessous proposé par Qualys.
Amol Sawarte, le CTO de Qualys, recense, dans un billet de blog, « plus de 100 failles pouvant être utilisées pour une attaque à distance et ne nécessitant aucun identifiant. Et les vulnérabilités les plus importantes peuvent être exploitées via le protocole http ».
Oracle Application concentre une grande partie des correctifs. On comptabilise ainsi 121 mises à jour pour la E-Business Suite (EBS), dont 118 sont exploitables à distance sans authentification. Selon ERPscan, « une attaque réussie contre EBS donne à un attaquant la possibilité de voler et de manipuler différents types d’informations stratégiques, selon les modules installés dans une entreprise ».
Sur le plan de la criticité, 16 patchs obtiennent la note élevée de 9 sur le référentiel CVSS v3.0, dont 3 dédiés à Java : CVE 2017-3289, 2017-3272, 2017-3241. Une faille affectant les versions 8.2, 8.3, 8.4, 15.1, 15.2, 16.1 et 16.2 de Primavera P6 Enterprise Project Portfolio Management affiche une note de 10, soit le maximum sur cette échelle de notation.
Java est relativement épargné ce trimestre avec seulement 17 patchs touchant Java SE, SE Embedded et JRockit. Qualys recommande d’appliquer ces mises à jouren priorité. La partie Database ne comprend que 2 patchs. Par contre, 27 brèches de sécurité MySQL sont colmatées. Les experts constatent que les vulnérabilités sur MySQL sont en forte progression depuis 2014. « En 2016, il y a eu 30 % de failles en plus sur MySQL », explique Qualys.
Cette livraison trimestrielle se place en seconde position en termes de nombre de correctifs, derrière le record de juillet 2016 (276 patchs). Depuis janvier 2016, Oracle a déjà livré 4 Critical Patch Update dépassant chacun les 200 correctifs.
A lire aussi :
Base de données : MySQL et Microsoft SQL Server menacent Oracle database
Audits de Java SE : 6 ans après le rachat de Sun, Oracle présente la facture
Microsoft affirme que l'accord européen de 2009 a donné à CrowdStrike les clés du noyau…
Déjà Président du conseil d'administration, l'ex banquier Jean-Pierre Mustier est nommé directeur général d'Atos. Il…
Le Financial Times rapporte qu'OpenAI était en pourparlers avec des concepteurs de semi-conducteurs, dont Broadcom,…
En première ligne pour subir les cyberattaques, les TPE/PME sont aussi les moins bien formées…
La Cour des comptes estime que la Dinum doit construire sa légitimité, autant au vu…
La Cour des comptes pointe les « résultats contrastés » de la Dinum sur son…
