Oracle a corrigé quatre vulnérabilités très critiques sur ses produits

Vue d’ensemble

Oracle a publié parmi les correctifs de son Critical Patch Update des solutions pour quatre vulnérabilités très critiques. La plus critique dispose d’un score CVSS de 10.0 et peut être exploitée depuis le réseau sans authentification. Le problème affecte le système de stockage Sun ZFS.

Détails techniques

Quatre CVEs ont été attribués à ces vulnérabilités:

  • CVE-2018-2611 - CVSS 10.0: pour une vulnérabilité dans le système de stockage Sun ZFS (AK) des produits Oracle Sun Systems (sous-composant: Core Services). Les versions, encore supportées, affectées sont celles antérieures à 8.7.13. La vulnérabilité, facilement exploitable, pourrait permettre à un attaquant non authentifié avec un accès réseau de compromettre le système de stockage Sun ZFS (AK) via HTTP. Les attaques réussies peuvent entraîner l'atteinte à la confidentialité d'informations sensibles.
  • CVE-2017-10352 - CVSS 9.9:  pour une vulnérabilité dans le composant Oracle WebLogic Server d'Oracle Fusion Middleware (sous-composant: WLS - Web Services). La version encore supportée qui est affectée est 12.2.1.3.0. La vulnérabilité est facilement exploitable et permet à un attaquant disposant d'un accès réseau de compromettre Oracle WebLogic Server via HTTP. Les attaques réussies peuvent induire des dénis de service d'Oracle WebLogic Server, ainsi que l'atteinte de l’intégrité et de la confidentialité des données accessibles via WebLogic Server.
  • CVE-2017-5645 - CVSS 9.8:  pour une vulnérabilité dans le composant Oracle Retail Convenience et Fuel POS d'Oracle Retail Applications (sous-composant: OPT Server (Apache Log4j)). La version encore supportée qui est affectée est 2.1.132. La vulnérabilité est facilement exploitable et permet à un attaquant non authentifié avec un accès réseau de compromettre Oracle Retail Convenience et Fuel POS Software via HTTP. Les attaques réussies de cette vulnérabilité peuvent permettre de prendre le contrôle des systèmes affectés.
  • CVE-2017-5461 - CVSS 9.8: pour une vulnérabilité dans le composant Oracle Directory Server d'Oracle Fusion Middleware (sous-composant: Console d'administration (bibliothèques de sécurité Sun)). La version encore supportée qui est affectée est 11.1.1.7.0. La vulnérabilité est facilement exploitable et permet à un attaquant non authentifié avec un accès réseau de compromettre Oracle Directory Server Enterprise Edition via HTTP. Les attaques réussies de cette vulnérabilité peuvent entraîner la prise de contrôle des systèmes affectés.

Il est donc très fortement recommandé d'appliquer les mises à jour afin d'éviter les risques affectant ces systèmes.

Informations
+

Impact

  • Déni de service.
  • Atteinte à la confidentialité des données.
  • Atteinte à l'intégrité des données.
  • Prise de contrôle des systèmes

Criticité

  • CVSS v3 : 10.0 (La plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Système de stockage Sun ZFS (AK) - La version 8.7.13 et ses antérieures.
  • Oracle Retail Convenience et Fuel POS d'Oracle Retail Applications - La version 2.1.132.
  • Oracle WebLogic Server d'Oracle Fusion Middleware - La version 12.2.1.3.0.
  • Oracle Directory Server d'Oracle Fusion Middleware - La version 11.1.1.7.0.

CVE

  • CVE-2018-2611
  • CVE-2017-10352
  • CVE-2017-5645
  • CVE-2017-5461

Recommandations
+

Correctifs

  • Un patch de sécurité publié par Oracle corrige ces vulnérabilités.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.