Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Oracle annonce son premier cycle de patch trimestriel

auteur de l'article Aurélien Cabezon , dans la rubrique Produits & Technologies

Commentaires Commentaires fermés sur Oracle annonce son premier cycle de patch trimestriel

Ce lundi 17 Janvier Oracle a annoncé son premier cycle de patch de sécurité. Pas moins de 23 vulnérabilités qui portent sur la gamme des produits phares de  » l’incassable Oracle  » sont à l’appel. Selon l’éditeur, il s’agit là d’une mise à jour cumulative qui inclut les correctifs pour les précédente alertes annoncée en Octobre dernier.


Le patch couvre 23 vulnérabilités qui portent sur des dénis de service, escalades de privilèges et accès distant. Par ailleurs le binaire contiendrait l’ensemble des correctifs systèmes requis pour la mise à jour des dépendances. Selon le leader de la base de données le patch s’applique aux produits suivants :

Oracle Database 10g Release 1, versions 10.1.0.2, 10.1.0.3 et 10.1.0.3.1

Oracle9i Database Server Release 2, versions 9.2.0.4, 9.2.0.5 et 9.2.0.6

Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5 et 9.0.4 (9.0.1.5 FIPS)

Oracle8i Database Server Release 3, version 8.1.7.4

Oracle8 Database Release 8.0.6, version 8.0.6.3

Au sein de sa notification d’alerte, Oracle introduit une matrice de risques qui permet de rapidement identifier la sévérité des vulnérabilités adressées. Elle fournit notamment des informations relatives aux protocoles mis en jeux, ainsi qu’aux permissions nécessaires pour exploiter la vulnérabilité. Par ailleurs la matrice nous donne des indications quant à la complexité de l’exploitation et de son impact. Toutes ces données sont censées simplifier le travail de l’administrateur de la base de données.

Le correctif propose essentiellement un remède aux vulnérabilités découvertes par le britannique David Litchfield de Next Generation Security. Litchfield avait exposé au grand jour ses travaux de recherche à Las Vegas au cours de la conférence  » Black Hat  » en Août dernier. Il aura fallu 3 mois a Oracle pour reconnaître la légitimité des faits et plus de 6 mois pour les fixer.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.