La plupart des correctifs publiés cette semaine par Oracle comblent des failles dans des produits métiers comme E-Business Suite, Fusion Middleware, PeopleSoft, Retail Applications, JD Edwards, Supply Chain Products et Database Server. Plus de 40 % des vulnérabilités corrigées - 121 - concernent la suite E-Business Suite, utilisée par les entreprises pour stocker des données critiques et gérer de nombreux processus d'affaires. Parmi elles, 118 sont exploitables à distance. Et l’une d’elles affiche un score de 9,2, le niveau critique le plus élevé dans le système de notation des vulnérabilités communes CVSS. Oracle a également corrigé 37 autres vulnérabilités dans Financial Services, 18 dans Fusion Middleware, 8 dans Retail Applications, 8 dans PeopleSoft et 4 dans Primera Products Suite. Ces produits sont couramment utilisés dans divers secteurs de l'industrie.
La vulnérabilité la plus critique, qui affiche un score CVSS de 10, a été corrigée dans Primavera P6 Enterprise Project Portfolio Management. Celle-ci peut être exploitée via HTTP et peut entraîner la création, la suppression ou la modification non autorisée de données critiques. Des vulnérabilités affichant un score CVSS de 9,8 ont été corrigées dans WebLogic Server, PeopleSoft Enterprise PeopleTools, JD Edwards EnterpriseOne Tools et Enterprise Manager Base Platform. Les systèmes sur lesquels tournent ces produits risquent d’être entièrement compromis si les correctifs ne sont pas appliqués. Pour ce qui est des bases de données, Oracle a corrigé 27 vulnérabilités dans la très populaire base de données serveur MySQL et dans Database Server ainsi que les composants associés. Enfin, Oracle a corrigé 17 vulnérabilités dans Java.
Prochaine vague de correctif le 18 avril 2017
Cette mise à jour de correctifs critiques (Critical Patch Update - CPU) n’atteint pas le record de 276 de la série trimestrielle de juillet 2016, mais elle en est très proche. Les analystes de l'entreprise de cybersécurité ERPScan font remarquer que chez Oracle, la moyenne dépasse maintenant les 200 correctifs. « En 2015, le nombre moyen de correctifs était de 153, avant de passer à 227 en 2016 », ont-ils déclaré. « Les mises à jour d’Oracle sont très conséquentes et concernent un grand nombre de produits », a déclaré dans un blog Amol Sarwate, directeur du laboratoire spécialisé dans les vulnérabilités de Qualys. « Comparativement aux anciens Critical Patch Update, la mise à jour est relativement équivalente, mais l’application des correctifs mobilise les administrateurs plus longtemps en raison de la multitude de vulnérabilités et de produits concernés ». Ces Critical Patch Update sont livrés tous les trimestres par Oracle. La prochaine livraison est prévue pour le 18 avril.
Commentaire