Oracle a publié une mise à jour de correctif critique pour corriger 136 vulnérabilités dans ses 49 produits, qui comprennent Java SE et MySQL, la suite de serveurs de base de données et de commerce électronique de la société, son middleware Fusion et sa suite de produits Sun Systems.
Oracle a publié une mise à jour majeure pour corriger 136 vulnérabilités
Le mardi 19 avril, Oracle a introduit une mise à jour de sécurité de routine qui traite un total de 136 vulnérabilités dans leurs produits. Selon une déclaration, les corrections ont été appliquées dans 49 des produits de la société, y compris la base de données Oracle, Fusion Middleware , Peoplesoft , E-Business Suite , MySQL , Java , et un certain nombre d’autres produits. Ce correctif est le premier de la société à utiliser le Common Vulnerability Scoring Standard (CVSS) 3.0 au lieu de l’ancien système CVSS 2.0.
En utilisant la nouvelle version du CVSS, les États-Unis peuvent identifier la gravité de certaines menaces et il convient de les classer par ordre de priorité. La mise à jour comprend des correctifs qui éliminent 31 vulnérabilités dans MySQL (4 erreurs avec possibilité d’opération à distance sans authentification), 5 problèmes dans la base de données Oracle (dont 2 avec possibilité d’opération à distance sans authentification), 22 erreurs dans le middleware Oracle Fusion (dont 21 avec possibilité d’opération à distance sans authentification), 18 vulnérabilités dans les solutions Oracle Sun, dont CVE-2011-4461, datant de l’année 2011 (12 erreurs avec opération à distance).
La société affirme qu’elle continue de recevoir des rapports réguliers sur les tentatives d’exploitation de vulnérabilités malveillantes dans ses produits qui ont déjà publié des correctifs. « Dans certains cas, il a été signalé que les attaquants ont réussi parce qu’ils ciblent les clients qui n’ont pas appliqué les correctifs disponibles auprès de Oracle « . Ainsi, la société recommande vivement aux clients de rester dans les versions supportées activement et d’appliquer les correctifs de la Critical Patch Update sans délai.
Dans la nouvelle version de , Java SE a éliminé 9 problèmes de sécurité qui peuvent tous être exploités à distance sans authentification. Trois erreurs se sont vu attribuer un niveau de gravité de 9,6 sur l’échelle CVSS. 6 problèmes apparaissent uniquement sur les systèmes clients (s’exécutant dans le navigateur Java Web Start et Java applets ), et 3 erreurs affectent à la fois les clients et la configuration Java côté serveur.
Oracle recommande vivement d’installer les correctifs de sécurité le plus rapidement possible.
