Multiples vulnérabilités dans des produits Oracle

Oracle a publié un bulletin de sécurité cumulatif contenant 334 correctifs pour plusieurs de ses produits.

Certaines vulnérabilités sont critiques et exploitables par un attaquant distant sans qu’aucun privilège particulier ne soit nécessaire. 

Informations
+

Risque

Les vulnérabilités ont un impact très fort sur la confidentialité, l'intégrité et la disponibilité des systèmes impactés.  

Criticité

  • Score CVSS v3 : 9.9 max.

Existence d’un code d‘exploitation

Aucun

Composants vulnérables

Les produits concernés par les correctifs sont les suivants: 

  • Oracle Database Server.
  • Oracle Communications Applications.
  • Oracle Construction and Engineering.
  • Oracle E-Business Suite.
  • Oracle Enterprise Manager.
  • Oracle Financial Services Applications. 
  • Oracle Food and Beverage Applications. 
  • Oracle Fusion Middleware.
  • Oracle GraalVM.
  • Oracle Health Sciences Applications. 
  • Oracle Hospitality Applications.
  • Oracle Hyperion. 
  • Oracle iLearning. 
  • Oracle Java SE.
  • Oracle Java SE.
  • Oracle MySQL.
  • Oracle PeopleSoft.
  • Oracle Retail Applications.
  • Oracle Siebel CRM. 
  • Oracle Systems.
  • Oracle Supply Chain.
  • Oracle Utilities Applications. 
  • Oracle Virtualization. 

Les versions vulnérables de chaque composant sont disponibles ici

CVE

Les CVEs concernés par les correctifs sont disponibles ici


Recommandations
+

Mise en place de correctifs de sécurité

Oracle recommande vivement aux clients d'appliquer les correctifs de sécurité dès que possible. 

Solution de contournement

En attendant l’application des correctifs, il peut être possible de réduire le risque d’une attaque en bloquant les protocoles réseaux requis par une attaque. 

Pour les attaques qui nécessitent certains privilèges, la suppression des privilèges utilisateur peut aider à réduire le risque d’une attaque réussie. 

Les deux approches peuvent perturber le fonctionnement d'applications, c’est pourquoi Oracle recommande fortement de tester les modifications sur des systèmes hors production.