Oracle va livrer demain l'une de ses plus importantes mises à jour de sécurité. Ce « Critical Patch Update » comprend 147 correctifs pour remédier à des failles dans sa base de données (version 11g, Release 1 et 2), dans Java SE, dans Fusion Middleware (11g et 12c), dans plusieurs de ses applications (E-Business Suite 11i et 12i, PeopleSoft Enterprise HRMS, Demantra Demand Management), Siebel Core et Life Sciences, Agile PLM for Process, et dans plusieurs autres logiciels. Le détail de cette mise à jour a été pré-annoncé par Oracle sur son site.
Sa plateforme de développement Java SE est concernée par 36 de ces correctifs, dont 34 viennent combler des failles susceptibles d'être exploitées par des attaquants sans que ceux-ci aient besoin de s'authentifier sur le réseau. Les logiciels du catalogue Fusion Middleware de l'éditeur, parmi lesquels la suite WebCenter, le serveur d'applications GlassFish et l'outil de gestion des identités (Identity Manager), reçoivent de leur côté 22 correctifs, dont 19 pour des failles qui peuvent être mises à profit à distance sans fournir de nom d'utilisateur ni de mot de passe.
18 patches pour la base MySQL
Parmi les applications, 16 correctifs sont destinées aux solutions de gestion logistique (dont 6 pour des failles sensibles) et 17 pour les logiciels PeopleSoft (dont 10 pour des vulnérabilités à exploiter sans authentification). La base de données en reçoit 5 (dont une sensible) qui concernent le coeur du produit (Core RDBMS) et le composant Spatial, tandis que la base Open Source MySQL en reçoit 18 (dont 3 exploitables sans authentification) et que SolarisOS en récupère 11. Enfin, 9 correctifs concernent Oracle Virtualization (plus particulièrement les composants Secure Global Desktop et VM VirtualBox), dont 4 viennent combler des vulnérabilités pouvant être exploitées sans authentification.
Dans sa dernière mise à jour de sécurité, en octobre, Oracle avait livré 127 patches, dont 51 portant sur Java. La prochaine est prévue pour le 14 avril 2014.