Oracle a corrigé trois vulnérabilités très critiques sur ses produits dans son patch du mois d'avril

Vue d’ensemble

Oracle a publié des correctifs pour trois vulnérabilités très critiques (score CVSS de 9.8). Ces vulnérabilités peuvent être exploitées depuis le réseau sans authentification.

Détails techniques

Quatre CVE ont été attribués à ces vulnérabilités:

  • CVE-2018-7489 - CVSS 9.8: vulnérabilité affectant les composants Market Risk Measurement, Hedge Management, IFRS Valuations et Management des applications Oracle Financial Services. La vulnérabilité, facilement exploitable, est due à un défaut de désérialisation des données. Son exploitation permettrait à un attaquant non authentifié avec accès sur le réseau de prendre le contrôle des systèmes via HTTP ;

  • CVE-2018-2628 - CVSS 9.8: vulnérabilité dans le composant Oracle WebLogic Server d'Oracle Fusion Middleware. La vulnérabilité, facilement exploitable, permettrait à un attaquant non authentifié avec un accès réseau via T3 de prendre le contrôle d'Oracle WebLogic Server ;

  • CVE-2017-5645 - CVSS 9.8: vulnérabilité dans le composant JD Edwards World Security des produits JD Edwards ainsi que le composant Retail Order Management System d'Oracle Retail Applications. La vulnérabilité, facilement exploitable, permettrait à un attaquant non authentifié avec un accès réseau de prendre le contrôle des systèmes via HTTP.

Informations
+

Impact

  • Prise de contrôle des systèmes :

    • Déni de service ;

    • Atteinte à la confidentialité des données ;

    • Atteinte à l'intégrité des données.

Criticité

  • CVSS v3 : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Oracle Financial Services Applications, versions 8.0.4 et 8.0.5 ;

  • Oracle Fusion Middleware, versions 10.3.6.0, 12.1.3.0, 12.2.1.2 et 12.2.1.3 ;

  • Oracle JD Edwards, versions A9.2, A9.3 et A9.4 ;

  • Oracle Retail Applications, versions 4.0, 4.5, 4.7 et 5.0.

CVE

  • CVE-2018-7489 ;

  • CVE-2018-2628 ;
  • CVE-2017-5645.


Recommandations
+

Correctifs

  • Un patch de sécurité corrigeant les vulnérabilités a été publié par Oracle.

Solution de contournement

  • Il n'existe pas actuellement de solution de contournement.