Oracle va publier 41 correctifs de sécurité, dont une quinzaine critiques
L'éditeur de bases de données et de progiciels publiera demain une série de 41 correctifs de sécurité venant combler des failles dans la plupart de ses composants d'infrastructures ainsi que dans ses progiciels. Sur ce total, une quinzaine de failles sont exploitables à distance et sans authentification et portent donc la mention "critique".
Oracle publiera demain un jeu de 41 correctifs de sécurité venant corriger des failles critiques dans la plupart de son catalogue logiciel. Sur les 41 correctifs produits par Oracle, quinze portent un indice de risque CVSS de 10 sur une échelle dont le maximum est justement 10. Les autres correctifs ont des indices CVSS allant de 4,0 à 7,5.
Le composant logiciel le plus affecté est la version Windows d'Oracle Secure Backup qui hérite de 9 correctifs venant combler des failles exploitables à distance et sans authentification préalable. Un autre composant particulièrement touché est le plug-in Oracle WebLogic Server (ex-BEA) pour les serveurs web d'Apache, de Sun and de Microsoft, qui lui aussi contient des failles exploitables à distance et sans authentification, le pire des scénarios pour un produit potentiellement exposé à une connexion internet externe.
La série de correctifs attendu demain vient aussi combler 10 failles dans la base de données maison ainsi qu'une failles dans Times Ten, six failles dans PeopleSoft Enterprise et JD Edwards Enterprise One, quatre dans Oracle E-Business Suite and Applications, quatre dans Oracle Application Server, une dans Oracle Collaboration Suite et une dernière dans Oracle Entreprise Manager. L'ensemble de ces failles sont pour l'instant documentées sommairement dans une pré-alerte diffusée par l'éditeur sur son site web.
Il est à noter qu'Oracle est un habitué des correctifs à grande échelle du fait de son cycle relativement long de production de patches. Au trimestre dernier, l'éditeur avait produit 36 correctifs contre 45 au trimestre précédent (le record date d'octobre 2006 avec 101 correctifs). Ce train de sénateur est, semble-t-il, contagieux chez les utilisateurs de la firme qui tardent eux aussi à déployer les patchs de l'éditeur. Une attitude qui s'explique souvent par la criticité des environnements de production Oracle et la répugnance à appliquer des correctifs des DBA Oracle, mais qui pourrait un jour jouer des mauvais tours à certains...