Sécurité IT : foire à la faille chez Oracle
Oracle ratisse large dans son dernier bulletin de sécurité : pas moins de 169 failles corrigées et de nombreux produits concernés, de Java à MySQL.
Annoncé ce 20 janvier, le premier Critical Patch Update de l’année 2015 est dense : pas moins de 169 failles de sécurité sont corrigées dans le cadre de cette mise à jour trimestrielle qu’Oracle applique à sa gamme de produits.
De nombreuses offres sont concernées par ces patchs généralement cumulatifs (à savoir qu’ils incluent les améliorations apportées lors des précédents updates). Un certain nombre de vulnérabilités étant « activement exploitées », Oracle recommande vivement d’appliquer l’intégralité des correctifs. S’il est impossible de les installer pour une quelconque raison, les risques d’attaque peuvent être minimisés en limitant les droits d’accès à certaines ressources et en désactivant certains protocoles réseau… au risque de perturber le fonctionnement d’applications.
Sur la fiche de soins figure notamment l’environnement Java SE. Des 19 failles résorbées, 14 peuvent être exploitées à distance sans avoir à s’authentifier sur le système ciblé ; et 4 sont considérées ultra-critiques si la session en cours dispose des privilèges d’administrateur. Les versions desktop de Java SE (5.0u75, 6u85, 7u72 et 8u25) sont concernées au même titre que celles destinées aux système embarqués (7u71 et 8u6).
La liste est moins longue pour MySQL : 9 brèches recensées, dont trois exploitables par injection de code à distance. La composante chiffrement est affectée à l’instar des couches gérant l’authentification et la réplication. Oracle corrige aussi 8 failles dans son offre Database Server, touchant entre autres l’outil Workspace Manager et le coeur du RDBMS… mais ne pouvant pas être exploitées sans authentification.
Dédiée à la création et à l’exécution d’applications d’entreprise, la plate-forme Fusion Middleware est l’un des principaux bénéficiaires de ce Critical Patch Update : 38 failles sont colmatées (dont 26 exploitables à distance). Le niveau de risque sur les différentes composantes de l’offre (Exalogic Infrastructure, GlassFish Server, BI Publisher, Access Manager…) dépend directement de la version d’Oracle Database utilisée.
Même constat pour la suite Enterprise Manager Grid Control et ses 10 failles toutes exploitables à distance, que ce soit via l’agent destiné aux mises à jour, l’outil de téléversement de fichiers ou le système de notifications. On notera que PeopleSoft (relation client), Siebel (CRM), E-Business Suite et les produits de la famille Sun Systems (Solaris, SPARC) bénéficient eux aussi de correctifs.
En complément, Oracle conseille d’appliquer les patchs diffusés depuis fin 2014 pour contrer la faille POODLE (CVE-2014-3566). Celle-ci peut permettre d’intercepter du trafic acheminé en SSL 3.0 – voire en TLS – entre un poste client et un serveur (via une attaque de type « man-in-the-middle » exploitant par exemple un point Wi-Fi malveillant), puis de le déchiffrer.
—— A voir aussi ——
Quiz ITespresso.fr : savez-vous où sont basés les grands groupes high-tech ?
Crédit photo : zimmytws – Shutterstock.com