Oracle : encore une CPU chargée avec 51 correctifs de sécurité Aurélien Cabezon le 17 octobre 2007 à 18h16, dans la rubrique Menaces Commentaires fermés sur Oracle : encore une CPU chargée avec 51 correctifs de sécurité base donneescorrectif patchmise a jour oracleoracle cpu L’éditeur américain finit l’année comme il l’avait commencé avec la publication de 51 patchs de sécurité à appliquer immédiatement par ses clients s’ils ne veulent pas encourir le risque d’une attaque à distance. Après 51 en janvier, 36 en avril et 51 en juillet, c’est le numéro 51 qui vient clôturer l’année 2007 pour Oracle dans le cadre de son cycle de patchs trimestriel, autrement appelé CPU pour Critical Patch Update. Des chiffres relativement impressionnants pour The Unbreakable et un rendez-vous anxiogène pour les admininstrateurs qui leurs procure généralement des sueurs froides. Ces derniers ont en effet bien conscience qu’à partir du moment où une telle publication a eu lieu, ils ne disposent de guère de temps pour sélectionner, tester et appliquer les patchs intéressant leur environnement spécifique. Faute de réactivité de leur part, ils peuvent être pris de vitesse par des pirates qui avec leur arsenal de reverse engineering, disposent dès lors de la base informative suffisante pour in fine, exploiter la faille correspondante. En l’occurrence, la CPU d’octobre révèle la présence de plusieurs vulnérabilités dans divers produits d’ Oracle qui pourraient être exploitées par des attaquants locaux ou distants afin de causer un déni de service, exécuter des commandes arbitraires, lire ou écraser des fichiers arbitraires, conduire des attaques par injection SQL ou par cross site scripting, ou afin de contourner les mesures de sécurité. Plus précisément, dans son bulletin, Oracle adresse ses 51 patchs pour corriger des vulnérabilités dont : 27 pour son Oracle Database : 5 vulnérabilités peuvent être exploitées à distance, sans procédure d’authentification (à travers un réseau, sans la nécessité d’entrer un nom d’utilisateur et un mot de passe). 11 pour Oracle Application Server : 7 vulnérabilités peuvent être exploitées à distance sans procédure d’authentification. 8 pour la suite Oracle E-Business : seulement une vulnérabilité est exploitable à distance sans authentification. 2 pour Oracle Enterprise Manager : les deux vulnérabilités sont exploitables à distance à travers un réseau sans la saisie d’identifiants. 3 pour Oracle PeopleSoft Enterprise PeopleTools et JD Edwards EnterpriseOne : aucune vulnérabilité ne peut être exploitée à distance.En 2007, Oracle aura donc comblé 189 failles. La prochaine CPU est programmée pour le 15 janvier 2008. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!