Oracle publie ses correctifs de sécurité sous forme de bulletins trimestriels. Ce processus a un nom, le Critical Patch Update (CPU). Le CPU du 20 avril 2008 est en ligne à cette adresse. Il apporte 41 correctifs de sécurité (certains sont communs à plusieurs logiciels), pour les produits Oracle suivants :
– Oracle Database : 16 dont 1 exploitable à distance sans les paramètres de connexion
– Application Express : 2 dont 1 exploitable à distance sans les paramètres de connexion
– Application Server : 5 dont 3 exploitables à distance sans les paramètres de connexion
– Collaboration Suite : 1, inexploitable à distance sans les paramètres de connexion
– E-Business Suite : 11 dont 7 exploitables (!) à distance sans les paramètres de connexion
– Enterprise Manager : 1, inexploitable à distance (faille locale)
– PeopleSoft Enterprise : 3, inexploitables à distance sans les paramètres de connexion
– Siebel Enterprise : 6 dont la moitié exploitable à distance sans les paramètres de connexion
Le détail précis de ces failles n’est pas fourni par Oracle. La compagnie signale toutefois que devant la gravité de certaines vulnérabilités, ses clients doivent appliquer cette série de patchs immédiatement. De fait, une écrasante majorité de ces failles est exploitableviaun protocole réseau. Pour un tiers d’entre elles, les paramètres de connexion n’ont même pas besoin d’être connus de l’attaquant.
Pour information, le prochain CPU sortira le 15 juillet 2008.
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…