Les plates-formes Oracle Application Server et Oracle Fusion Middleware, basées sur le logiciel de serveur HTTP open source Apache 2.0 ou 2.2, sont au centre d’une faille de sécurité, qui a forcé la firme de Larry Ellison à réagir.
Oracle incite donc à mettre à jour ses serveurs d’applications en question.
Sont précisément concernés par cette mise à jour critique d’Oracle, les produits suivant :Oracle Fusion Middleware 11g Release 1, versions 11.1.1.3.0, 11.1.1.4.0 et 11.1.1.5.0; Oracle Application Server 10g Release 3, version 10.1.3.5.0, et Oracle Application Server 10g Release 2, version 10.1.2.3.0.
La faille peut être exploitée pour lancer une attaque de type déni de service (DoS ou Denial of Service). Et celle-ci peut être effectuée sans même qu’il soit besoin de préciser un nom d’utilisateur et un mot de passe.
Un script Perl tel que Apache Killer peut l’exploiter. C’est un ‘Header’ spécifique (du nom de ‘Range’) qui sert au script pour submerger le serveur avec un très grand nombre de fichiers.
Celui-ci peine alors à gérer ce flux d’informations simultanément et le crash est alors inévitable.
Si Oracle reconnait la gravité de la faille, sur l’échelle d’évaluation des vulnérabilités (‘CVSS’ pour ‘Common Vulnerability Scoring System’), elle lui donne une note de 5.0.
« Un DoS sur l’OS complet est impossible sur aucune des plates-formes supportées par Oracle, et par conséquence, Oracle a noté la vulnérabilité avec un score de 5.0 indiquant un DoS complet du serveur HTTP Oracle mais pas de son système d’exploitation« , précise toutefois Oracle.
Cela va à l’encontre de la note de 7.8 sur 10 que le gouvernement américain avait donné à cette faille.
Quoi qu’il en soit, la menace est suffisamment pesante pour qu’il convienne d’effectuer promptement cette mise à jour majeure.
Elle a été jugée assez sérieuse pour qu’Oracle ne s’en tienne pas à son calendrier de mises à jour (la prochaine mise à jour critique était prévue pour le 18 octobre 2011).
Crédit photo : © Vladislav Kochelaevs – Fotolia.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…