Dans sa traditionnelle et trimestrielle livraison de correctifs de sécurité, Oracle répare pas moins de 219 failles dans les différents produits de l’éditeur. Un millésime relativement petit par rapport au 319 vulnérabilités corrigées en juillet dernier. Pour autant, le bulletin du mois d’octobre n’est pas à prendre à la légère avec le colmatage de plusieurs failles critiques. En effet, on recense 142 vulnérabilités exploitables à distance.
La plus virulente des failles est la CVE-2018-14721 ciblant une bibliothèque Java, FasterXML jackson-databind, un composant d’Oracle NoSQL Database. Elle affiche la note de 10, soit le niveau le plus élevé sur l’échelle de criticité. Cette faiblesse découverte en juillet 2018 coche toutes les cases de sévérité : exploitable à distance sans authentification, faible complexité de l’attaque, pas d’interaction avec l’utilisateur ou de nécessaire élévation de privilège. Les bases de données Oracle NoSQL supportées avant la version 19.3.12 sont affectées par la vulnérabilité. La bibliothèque incriminée est également présente sur d’autres produits Oracle comme Banking Platform et Financial Services Analytical Applications Infrastructure.
Des bugs plus anciens corrigés
Dans la liste de correctifs, on note le patch sur un vieux bug (CVE-2017-6056) concernant Apache Tomcat Server intégré à Instantis EnterpriseTrack, un logiciel de construction et d’ingéniérie. Le niveau de criticité affiche la note de 9,8 sur 10. Un autre bug de 2017 (CVE-2016-4000 publié en juin 2017) a été corrigé et donne aux attaquants la capacité d’exécuter à distance du code malveillant à partir d’un objet sérialisé PyFynction grâce à la ligne de commande Jython.
Sur la partie matérielle, une faille datant de 2018 (CVE-2018-1000007) s’attaquait au composant cURL présent dans le firmware CXP des serveurs Fujitsu M10 et M12 SPARC. D’autres vulnérabilités ont été colmatées ciblant pêle-mêle glibc, NTP, NetSNMP, OpenSSL, OpenSSH, pilote USB.
Au final, pas moins de 63 chercheurs en sécurité ont été remerciés par Oracle pour leur découverte. En quantité, l’offre Middleware Fusion comprend 37 correctifs, suivi de MySQL avec 34 patchs et 20 pour Java SE.