C'est une grosse mise à jour de sécurité qu'Oracle livre ce trimestre avec son Critical Patch Update d'avril 2016. Celui-ci comporte 136 correctifs pour un large éventail de logiciels dont Database Server, l’ERP E-Business Suite, la suite de middleware Fusion, le langage de développement Java, la base de données MySQL et plusieurs produits Sun. Pour indiquer la criticité des failles comblées par ce patch périodique, le fournisseur a adopté la version 3.0 du Common Vulnerability Scoring System. Ce dernier reflète plus précisément l’impact des vulnérabilités que CVSS 2.0. Dans le Critical Patch Update d'avril, les deux systèmes sont en fait utilisés, ce qui va permettre de comparer de quelle façon la version 3.0 est susceptible d’affecter la hiérarchisation des priorités sur les correctifs appliqués au sein des entreprises.
Par exemple, on constate qu’en se basant sur l’échelle CVSS 2.0, il y a 5 failles auxquelles le score maximum de 10.0 a été attribué, alors qu’il n’y en a aucune avec CVSS 3.0. Au premier coup d’œil, on pourrait en déduire que les failles sont jugées moins critiques avec CVSS 3.0, mais ce n’est pas le cas. Ainsi, s’il n’y a aucune vulnérabilité classée 10.0, le nombre de failles jugées critiques avec CVSS 3.0 s’élève à 17, comparé à seulement 9 avec CVSS 2.0. De la même façon, 25 failles sont associées à un niveau sévère (high severity) de sécurité avec CVSS 3.0 alors que CVSS 2.0 n’en trouve que 12. Pour Alexander Polyakov, CTO de la société ERPScan, spécialisé sur l’analyse des vulnérabilités, le nouveau système d’évaluation est plus précis et il a permis de résoudre de nombreux inconvénients par rapport au précédent.
Sur ce patch, les produits dont les failles sont jugées les plus sensibles, affichant un score élevé (de 7.0 à 8.9 sur CVSS 3) à critique (9.0 à 10.0) sont Database Server, Fusion Middleware, Enterprise Manager Grid Control, E-Business Suite, Supply Chain Suite, PeopleSoft, Oracle Financial Services, Java SE, Virtualization, MySQL et Berkeley DB. Plusieurs produits Sun sont également concernés.
Commentaire