Une semaine après Microsoft, Oracle publie à son tour une série de correctifs de sécurité - 299 au total - pour corriger des vulnérabilités dans ses produits. Et notamment un patch comblant une faille largement exploitée dans le framework Apaches Struts 2 et un exploit Solaris supposé avoir été utilisé par la NSA. La vulnérabilité Struts, qui permet l'exécution de code à distance sur les serveurs Web Java, a été corrigée le 6 mars. Les attaquants l'ont rapidement adoptée et utilisée dans des attaques généralisées depuis lors. Oracle utilise pour sa part Apache Struts 2 dans plusieurs de ses produits, c'est pourquoi la dernière mise à jour colmate 25 vulnérabilités dans les applications de l’éditeur, à savoir Communications, Retail et Financial Services, ainsi que MySQL Enterprise Monitor, WebCenter Sites, WebLogic Server et l'application Siebel E-Billing.
La société a également corrigé la vulnérabilité derrière l'exploit EXTREMEPARR pour Solaris 10 qui a été divulguée récemment par un groupe appelé Shadow Brokers. Ce dernier a publié un ensemble de failles et de cyber-outils associés prétendument exploités par la NSA. Un autre exploit de Solaris qui faisait partie du même arsenal et a été surnommé EBBISLAND, a été corrigé depuis 2012 dans Solaris 10 Update 11, a déclaré Oracle.
Les principales applications Oracle touchées
Le paquet de correctifs trimestriels d'Oracle contient des patchs pour 40 vulnérabilités jugées critiques, dont 25 ont le score de sévérité le plus élevé de 10 dans le système commun de notation de vulnérabilité (CVSS). Dans l'ensemble, 162 des 299 fragments de vulnérabilité sont exploités à distance.
Les applications d'Oracle pour des secteurs industriels spécifiques - services financiers, commerce de détail, communications, services publics, hôtellerie, sciences de la santé et assurances - représentent près de 40% de toutes les solutions de sécurité ce trimestre, selon une analyse effectuée par le fournisseur de sécurité ERPScan. Les applications critiques d'Oracle comme PeopleSoft, E-Business Suite, JD Edwards, Siebel CRM et Primavera Products Suite bénéficient de 83 corrections de sécurité.
Un travail considérable pour les administrateurs systèmes
« De nos jours, les pirates mettent l'œil sur les entreprises plus que sur les individus, car ils ont compris que cette option est plus rentable », a déclaré Alexander Polyakov, directeur technique chez ERPScan. « Compte tenu du fait que les produits Oracle sont installés dans les plus grandes entreprises, ces applications peuvent être la cible ultime ». Du côté des bases de données, l’éditeur a corrigé 39 vulnérabilités dans MySQL et 3 dans Database. Java a également reçu 8 correctifs de sécurité.
Le tri et le déploiement de ces correctifs qui composent un des plus importants packs pour les entreprises clientes d’Oracle, seront un travail considérable pour les administrateurs système. La taille des mises à jour trimestrielles d'Oracle a régulièrement augmenté au cours des années, ce qui soulève la question de savoir si un cycle de mise à jour mensuel plutôt que trimestriel ne serait pas plus approprié.