Trimestrielle, la mise à jour de sécurité d’Oracle comporte toujours un nombre de correctifs assez conséquent. Celle de janvier 2018, livrée demain, ne déroge pas à la règle même si elle est moins fournie que les précédentes. Elle vient corriger 233 vulnérabilités (maj*) contre 252 en octobre dernier et 310 en juillet 2017. Dans son bulletin d’avertissement, Oracle recommande fortement d’appliquer les mises à jour aussi vite que possible en raison de la menace induite par une attaque menée avec succès (sans donner davantage de détails). Si l’éditeur de Redwood Shores ne mentionne pas d’interventions liées aux failles Meltdown et Spectre (qui ont touché les processeurs Intel et pour lesquelles Microsoft a livré des correctifs avant le patch tuesday de janvier), son bulletin d'avertissement mentionne toutefois – sans plus d’explication – des correctifs pour Oracle X86 Servers, versions SW 1.x et SW 2.x.
La faille la plus critique de ce 1er patch trimestriel de l'année porte le score 10.0 sur l’échelle CVSS utilisée par Oracle. Elle concerne le logiciel associé à l’appliance de stockage ZFS de la gamme Sun Systems qui avait déjà été corrigé lors des précédentes mises à jour de sécurité. Par ordre de criticité viennent ensuite des correctifs pour les composantes de Communications Applications, pour Fusion Middleware, pour la suite Supply Chain, les applications Retail, les solutions PeopleSoft et le logiciel de virtualisation d’Oracle. Toutes ces vulnérabilités ont reçu un score CVSS de 9.8.
Failles CVSS 9.1 sur Database Server et l'E-Business Suite
On trouve ensuite, avec un score de 9.1, des failles à corriger sur Database Server, Oracle Hospitality et l’ERP E-Business Suite. Les applications Financial Services et les outils de support sont concernés par une faille de niveau 8.8 et Java SE par une vulnérabilité de niveau classée 8.3. Viennent ensuite les applications Health Sciences, MySQL, Siebel CRM et la suite applicative Construction and engineering avec des failles notées 8.2 et 8.1, tandis que Java Micro Edition comporte une faille de score 7.8. L'ERP JDE et la solution décisionnelle Hyperion sont pour leur part affectés par des vulnérabilités estimées respectivement à 6.1 et 5.3.
Parmi les autres logiciels corrigés par cette mise à jour de sécurité, on trouve, entre autres, Agile PLM, les applications de terminaux points de vente Micros, les applications Fusion (versions 11.1.2 à 11.1.9), le logiciel Business Intelligence Enterprise Edition, les solutions Banking Corporate et Banking Payments, Directory Server Enterprise Edition, Flexcube Direct Banking et Universal Banking, ainsi que, du côté des outils de sécurité et de développement, Identity Manager, JDeveloper et JRockit. A noter que les versions 10 et 11.3 du système d’exploitation Solaris sont également corrigées.
*(mise à jour du 17/01/2018 : Oracle a revu à la hausse son Critical Patch Update de janvier 2018 qui vient corriger 237 failles - cf son bulletin définitif qui confirme l'intervention liée aux failles Spectre/Meltdown).
Commentaire