icetray - Fotolia
Correctifs : Oracle doit accélérer la cadence, estiment plusieurs experts
Oracle corrige 154 vulnérabilités à l’occasion de son lot de mises à jour trimestriel. Certains experts estiment que les rustines doivent être distribuées plus rapidement. Oracle veut s’en tenir à son calendrier.
Oracle vient de distribuer son lot de mises à jour trimestriel. Celui-ci corrige rien moins que 154 vulnérabilités réparties dans plus de 50 produits. Pour certains experts, il est temps que l’éditeur accélère le rythme.
Java et Oracle Fusion Middleware sont les plus gâtés de ce lot de correctifs, avec 25 et 23 rustines respectivement. Java s’est montré particulièrement affecté : 24 des 25 failles corrigées peuvent être exploitées à distance, sans authentification, selon l’éditeur. Même chose pour 16 des 23 vulnérabilités comblées dans Fusion Middleware.
Dans un billet de blog, Eric Maurice, responsable de l’assurance sécurité logicielle chez Oracle, explique que les entreprises devraient appliquer les correctifs au plus vite, en raison du grand nombre de vulnérabilités sévères concernées. De fait, sur 154 rustines, 76 touchent des failles exploitables à distance, sans authentification.
Wolfgang Kandek, directeur technique de Qualys, et Tyler Reguly, chercheur en sécurité chez Tripwire, estiment de leur côté qu’Oracle devrait adopter un calendrier de diffusion de correctifs plus serré, en particulier pour ses produits les plus populaires tels que Java et Fusion Middleware : selon eux, trois mois, c’est beaucoup en sécurité.
« Il s’écoule beaucoup de temps entre chaque distribution, et cela pénalise la sécurité des postes utilisateurs tant dans les entreprises que chez les particuliers. Personnellement, je pense qu’un cycle trimestriel de correctifs pour un produit populaire est une très mauvaise idée, de nos jours », juge ainsi Reguly. « Certes, lorsqu’Oracle est passé à un cycle trimestriel, cela a introduit de la stabilité dans un processus compliqué. Mais à ce stade, passer à un cycle mensuel, ou même bimensuel, pourrait améliorer fortement la sécurité de leurs produits.
Mais Maurice défend l’approche retenue par l’éditeur : « les mises à jour critiques sont distribuées quatre fois pas an, selon un calendrier annoncé une année à l’avance. Cette prévisibilité est là pour fournir aux clients d’Oracle la possibilité de planifier le déploiement rapide de ces correctifs de sécurité, afin qu’ils puissent maintenir leur posture de sécurité ». Et de souligner qu’elle permet en outre d’intégrer l’application des correctifs de sécurité dans les calendriers de maintenance régulière.
Mais pour Reguly, ce concept rigide est dépassé : « lorsque l’on en est au point où la divulgation non responsable de vulnérabilités attire les foudres de la communauté, des cycles de distribution de correctifs irresponsables devraient être traités avec le même dédain. Ils ne profitent qu’aux attaquants, à ce stade ».
Adapté de l’anglais.