Trois des vulnérabilités corrigées mardi par Oracle affichent un indice de gravité de 10, le plus élevé dans l’échelle Common Vulnerability Scoring System (CVSS), ce qui signifie qu'elles peuvent être exploitées sur le réseau sans authentification et conduire à une compromission totale de la confidentialité et de l'intégrité du système. Douze autres failles affectent le client Java et peuvent être exploitées depuis le web en passant par le plug-in Java d’un navigateur. L'une d’elles affecte également les déploiements de serveurs Java, les deux autres restantes affectant les déploiements client et serveur de Java Secure Socket Extension (JSSE). Pour corriger ces vulnérabilités, Oracle a publié les mises à jour Java 8u45, 7u79, 6u95 et 5u85. Seuls les clients ayant souscrit des contrats de maintenance Java à long terme recevront les mises à jour Java 6 et 5.
Après ces patchs, Oracle ne livrera plus de correctifs publics pour Java 7. De la même façon, seuls les clients ayant souscrit des contrats de support spéciaux pourront recevoir les futurs correctifs de sécurité de cette version de Java. Depuis le mois de janvier, les utilisateurs ayant opté pour la mise à jour automatique de Java 7 ont été invités à passer à la version 8. Pour John Matthew Holt, CTO au sein du cabinet de sécurité Waratek, « l’annonce de la fin de la gratuité des correctifs de sécurité pour Java 7 va provoquer de vrais maux de tête et perturber des millions d’applications propriétaires à travers le monde ». Toujours selon le CTO, « l’arrêt rapide du cycle de vie de ces versions de Java est une incitation à innover et à faire évoluer le langage ». Néanmoins, le pari est pour le moins dangereux : « à partir de maintenant des millions d’applications Java 7 vont devoir se défendre contre les vulnérabilités de code sans correctifs ».
Dans le cadre du Critical Patch Update d’avril 2015, outre Java, Oracle a corrigé des failles de sécurité dans Database, Fusion Middleware, Hyperion, Enterprise Manager, E-Business Suite, Supply Chain Suite, PeopleSoft Enterprise, JDEdwards EnterpriseOne, Siebel CRM, Applications Industrie, Java SE, Sun Systems Produits Suite, MySQL et Support Tools.
Commentaire