Oracle a corrigé 237 vulnérabilités sur plusieurs produits dans son Critical Patch Update de janvier 2018

Oracle a publié un ensemble de correctifs pour s'adresser à 237 vulnérabilités de sécurité dont 32 critiques et 96 de criticité élevée sur des centaines de ses produits, y compris les très largement utilisés Oracle Database Server et Java SE.

Le "Critical Patch Update" (CPU) de ce mois a apporté des correctifs pour les vulnérabilités Spectre (CVE-2017-5753, CVE-2017-5715) et Meltdown (CVE-2017-5754) sur certains produits Oracle.

Selon une analyse d’ERPScan, les principaux points à souligner sur ce patch sont :

  • 153 correctifs (64%) publiés pour des vulnérabilités affectant une gamme d'applications métier, à savoir PeopleSoft, E-Business Suite, applications de services financiers, Fusion Middleware, applications d'accueil, Supply Chain Products Suite, applications de vente au détail, applications de communication, applications de sciences de la santé, serveurs de bases de données, produits JD Edwards. Près de 65% de ces vulnérabilités peuvent être exploitées à distance sans authentification;
  • Des scores CVSS très élevés (9,8) ont été constatés sur des vulnérabilités affectant des solutions métiers et sectorielles largement utilisées, notamment Fusion Middleware, PeopleSoft et Retail Applications (N.B : le score CVSS le plus élevé de 10,0 est dans Sun ZFS Storage Appliance Kit);
  • Les applications de type Oracle Financials sont les plus affectées par des vulnérabilités (au nombre de 34). Non seulement le nombre, mais la criticité des failles est aussi bien alarmante. 13 d'entre elles peuvent être exploitées sur le réseau sans authentification. La vulnérabilité la plus critique a un score CVSS de 8.8;
  • Oracle a résolu d'urgence des vulnérabilités critiques, y compris une vulnérabilité appelée JoltandBleed (CVE 2017-10269) qui permet à un attaquant d'accéder à toutes les données stockées dans les solutions Oracle PeopleSoft.

Parmi les autres correctifs publiés, on trouve:

  • 7 correctifs pour Oracle EBS, qui est le principal logiciel d'entreprise développé par Oracle permettant de gérer les processus métiers et stocker des données clés. Le score CVSS le plus élevé est de 9,1. Une attaque réussie contre Oracle EBS pourrait permettre à un attaquant de dérober et de manipuler des informations stratégiques, en fonction des modules installés dans une organisation.
  • 5 nouveaux correctifs de sécurité sur la machine virtuelle Java et 4 autres composants vulnérables dans Oracle Database Server, dont la plus critique a un score CVSS de 9,1. 3 des failles peuvent être exploitées à distance sans authentification;
  • De nouveaux correctifs pour 21 vulnérabilités sur plusieurs versions de Java SE, dont 18 sont exploitables à distance sans authentification. La vulnérabilité la plus critique a un score CVSS de 8,3. Le CPU contient des correctifs pour des failles dans les versions 6 à 9 de Java SE;
  • 25 correctifs de sécurité pour des vulnérabilités sur Oracle MySQL dont 6 peuvent être exploitées à distance sans authentification et dont la plus critique affecte MySQL Enterprise Monitor avec un score CVSS de 8.1;
  • 2 correctifs de sécurité pour les versions 16.0 et 17.0 d’Oracle Siebel CRM et qui ne peuvent pas être exploitée à distance sans authentification.

L’avis de sécurité publié par Oracle concernant ce CPU, contient la liste complète des produits/versions affectés, avec des détails sur les vulnérabilités corrigées (matrice des risques, impact, solutions...).

Il est fortement recommandé aux entreprises et particuliers clients des produits Oracle d’appliquer les mises à jour publiées pour corriger toutes ces vulnérabilités afin d'éviter les risques majeurs pouvant affecter leurs systèmes.