Oracle vient de livrer son « Critical Patch Update », mise à jour de sécurité trimestrielle qui regroupe 334 correctifs, dont 43 présente un score CVSS supérieur à 9.1, pour différentes familles de produits dont Enterprise Manager, Database Server, Fusion Middleware, JD Edwards, MySQL, Java SE, Supply Chain Products, Financial Services, Communications, Hospitality, Retail Applications, Virtualization, PeopleSoft, Construction and Engineering Suite. Dans la note associée à cette livraison, l’éditeur recommande vivement à ses clients d’appliquer la mise à jour aussi rapidement que possible compte-tenu des risques encourus en cas d’attaque réussie. Il rappelle qu’il reçoit périodiquement des rapports de tentatives malveillantes sur des failles déjà corrigées et conseille de consulter ses précédents Critical Patch Updates. Dans certains cas, des attaquants sont parvenus à leurs fins parce que les clients n’avaient pas appliqué les correctifs.

Oracle souligne aussi que des vulnérabilités se trouvant dans Database ou dans Fusion Middleware peuvent affecter les applications Fusion et renvoie vers le document associé My Oracle Support Note 1967316.1 fourni par son support. 

Des failles critiques sur Communications et Fusion Middleware

Parmi ses produits comportant des failles critiques figure en particulier Communications Applications. L’éditeur livre 25 correctifs sur cette gamme dont 23 pour des failles exploitables à distance sans authentification, 6 d’entre elles étant très critiques avec des scores de 9.8 et 9.1, tandis que 10 sont classées à 7.5. Une partie de ces vulnérabilités sont associées à des informations CVE antérieures à 2019. Sur la famille Fusion Middleware, 3 failles dont le score monte à 9.8 concernent Coherence (CVE-2020-2555) et ses composants Caching, CacheStore et Invocation, ainsi que WebLogic Server. Pour ce dernier, la CVE-2020-2551 concerne les composants WLS Core et la CVE-2020-2546, Application Container-Java EE. 

D’autres failles présentant également un score supérieur à 9 sont signalées dans Construction and Engineering, dans l’application Human Resources de la E-Business Suite, dans Enterprise Manager Ops Center et Application Testing Suite, dans WebLogic Server et Coherence, ainsi que dans GraalVM, Health Sciences Applications, JD Edwards Enterprise One Orchestrator et Tools version 9.2, PeopleSoft Entreprise Tools (composants Portal et Security, versions 8.56 à 8.58), Siebel, Oracle Systems, Hyperion Planning framework, Supply Chain et Utilities Applications. Le plus grand nombre de risques critiques se trouve dans Retail Applications, 13 correctifs y présentant des scores de 8.1 à 9.8.

12 correctifs sur Database Server

Sur la partie serveur de la base de données d’Oracle, 12 correctifs sont fournis dont 3 pour des failles pouvant être exploitées à distance sans authentification, c’est-à-dire à travers un réseau sans requérir d’identifiants. Plusieurs versions de la base sont affectées : 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c , 19c, 29 et 212.2.0.1 avec des risques d’exécution de code arbitraire à distance, de déni de service, d’atteinte à l’intégrité et à la confidentialité des données. 3 failles ont un score CVSS 3.0 de 7.5 (CVE-2020-2510, CVE-2020-2518, CVE-2019-10072) et une de 7.7 (CVE-2020-2511), signalée comme de nombreuses autres, par Alexander Kornbrust de Red Database Security, Oracle créditant dans son bulletin les différentes personnes ou organisations lui ayant rapporté des failles.

Sur Java SE, 12 correctifs sont fournis pour des vulnérabilités pouvant être exploitées à distance sans authentification. Une faille de score 8.1 est corrigée (CVE-2020-2604) sur le composant Serialization, et 3 de score 7.5 sur JavaFX, portant sur SQLite (CVE-2019-16168) et libxslt (CVE-2019-13117 et CVE-2019-13118). Une faille de score 6.8 (CVE-2019-2601) concerne le composant Security de Java SE et SE Embedded. Les prochaines mises à jour de sécurité de l’année sont prévues pour le 14 avril, le 14 juillet et le 20 octobre.