Oracle a communiqué la liste détaillée de ses produits touchés par la faille critique Heartbleed découverte dans la bibliothèque de chiffrement OpenSSL et référencée CVE-2014-0160. Des correctifs sont déjà disponibles pour six d'entre eux : MySQL Enterprise Monitor, MyQL Enterprise Server 5.6, Communications Session Monitor Suite 3.3.40 et 3.3.50, Oracle Linux 6, Mobility Security Suite et Solaris 11.2.
Mais l'éditeur donne aussi plusieurs autres listes, en particulier, celle des logiciels, une quinzaine, pouvant être vulnérables à la faille et pour lesquels le correctif n'est pas encore disponible. Parmi ceux-ci figurent Java ME (Mobile and Wireless), MySQL Connector/C et ODBC, MySQL Workbench ou encore le logiciel de gestion de projets Primavera P6 Professional. Une quinzaine d'autres produits, pouvant être potentiellement touchés, sont encore en cours d'examen, dont les produits ATG (commerce électronique), eGate Integrator 5.0.5 SRE, Enterprise Manager Explorer, Nimbula Director ou Oracle SOA Suite.
Les produits hors de danger
Enfin, Oracle énumère aussi les produits qui sont hors de danger, soit parce qu'ils n'intègrent pas du tout Open SSL, comme l'E-Business Suite R12, Java SE ou Java VM, soit parce que l'utilisation qu'ils en font ne les exposent pas à la faille CVE-2014-0160, comme l'E-Business Suite 11i, ses suites décisionnelles Hyperion BI et Essbase, ou encore son serveur intégré Exalogic.
Les utilisateurs de sa famille de services cloud peuvent également se rassurer. Oracle indique que les applications hébergées par Oracle dans ses datacenters, en mode public ou privé, « ne sont actuellement pas exposées » au bug Heartbleed. L'éditeur précise toutefois qu'il continue à examiner la situation. La faille qui touche OpenSSL est l'une des plus graves parmi celles qui ont été découvertes ces derniers temps.
Mise à jour de sécurité trimestrielle urgente
Par ailleurs, c'est cette semaine, le 15 avril, qu'Oracle a livré son lot de correctifs trimestriel qui contenait cette fois-ci 104 patches. L'éditeur signale qu'en raison de la menace encourue à la suite d'une attaque ayant aboutie, cette mise à jour de sécurité doit être appliquée aussi rapidement que possible.
On y trouve en particulier des mises à jour pour les versions 11g et 12c de la base de données phare de l'éditeur, pour Fusion Middleware 11g et 12c, pour les applications Fusion ou pour WebLogic Server. A elle seule, la Standard Edition de Java est concernée par 37 correctifs.
Heartbleed : Oracle livre déjà 7 correctifs OpenSSL et en prépare d'autres
0
Réaction
Une partie du foisonnant catalogue d'Oracle est touchée par le bug Heartbleed d'OpenSSL. En dehors des correctifs déjà livrés, l'éditeur en prépare d'autres et continue d'examiner une quinzaine de produits susceptibles d'être affectés. L'éditeur a par ailleurs livré sa mise à jour de sécurité trimestrielle à installer aussi vite que possible.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Commentaire