Sécurité IT : Oracle fait dans la faille critique
Le système de gestion de base de données MySQL et l’OS Solaris sont en première ligne de la mise à jour de sécurité trimestrielle qu’Oracle applique à sa gamme de produits.
Oracle ratisse large avec sa mise à jour de sécurité trimestrielle « Critical Patch Update » (CPU), qui résorbe 89 vulnérabilités dans 13 gammes de produits, dont 18 pour le seul MySQL et 16 pour Solaris.
Près de la moitié des failles refermées par cette nouvelle salve de correctifs sont considérées critiques : elles peuvent en l’occurrence occasionner une prise de contrôle à distance, le plus souvent sans authentification, généralement avec le niveau de privilèges de la session en cours.
En incluant les deux premiers CPU de l’année – diffusés en janvier et avril – et les soins exceptionnels régulièrement prodigués au greffon Java, Oracle a colmaté 343 brèches en 2013.
Quelle stratégie appliquer pour diffuser efficacement tous ces remèdes à l’échelle d’une entreprise ?
Il convient de prioriser les services exposés sur Internet et les brèches répertoriées comme les plus dangereuses (score élevé sur une échelle de 0 à 10), c’est-à-dire généralement celles exploitables à distance.
Illustration avec deux des vulnérabilités qui touchent MySQL (l’une d’entre elles, gratifiée d’un 9/10, est liée au parser XML), ainsi que celle qui touche Outside-In, cette composante d’Oracle Fusion utilisée notamment par Microsoft Exchange Server.
Le déploiement des autres correctifs, notamment ceux applicables à l’OS Solaris (note de 7,8 pour les failles découvertes dans le protocole TCP/IP et la gestion iSCSI), pourra s’effectuer dans un second temps.
Même réflexion pour les autres produits concernés : Enterprise Manager (gestionnaire de bases de données et serveurs d’applications), Hyperion (outils décisionnels collaboratifs), E-Business et PeopleSoft (progiciels de gestion).
Le middleware Fusion est quant à lui criblé de de 21 trous de sécurité… dont pas moins de 16 exploitables à distance, notamment celui répertorié CVE-2013-2461, relatif à la composante JRockit.
Dans le guide publié à destination des administrateurs, Oracle précise qu’en cas de contrariété dans le déploiement du patch, il est possible de minimiser les risques d’attaque en bloquant certains protocoles réseau ou en restreignant les droits utilisateur.
Au total, ce sont 18 experts en sécurité qui ont contribué à la découverte de ces failles… toujours plus nombreuses. Et il s’en inquiètent.
Chercheur pour le compte de l’éditeur britannique Tripwire, Craig Young explique : « ce déploiement quasi ininterrompu de correctifs est d’autant plus alarmant que les vulnérabilités sont signalées par des tiers qui n’ont théoriquement pas accès au code source des produits Oracle« .
—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous de la sécurité sur Internet ?
Crédit illustration : SH-Vector – Shutterstock.com