Oracle annonce pas moins de 101 ‘patchs’

Oracle peut s’honorer une nouvelle fois d’une mise à jour trimestrielle des plus riches, avec pas moins de 101 correctifs anti-failles de sécurité.

En multipliant la profondeur de son offre, des bases de données aux applications, Oracle ne pouvait manquer de multiplier inévitablement les vulnérabilités, et donc les mises à jour.Ce jour, Oracle met donc en ligne 101 patchs. Les bases de données cumulent 63 correctifs, les applications serveurs 14 correctifs, les suites e-business 13 correctifs. Quant à PeopleSoft et J.D. Edwards, ils occupent 9 corrections de vulnérabilités.45 failles ont été identifiées comme ne nécessitant pas une authentification de l’attaquant pour être exploitables à distance. Elles marquent la volonté de l’éditeur d’informer ses clients sur les menaces. De même, pour la première fois Oracle accompagne ses mises à jour d’une documentation plus détaillée.Avec cette documentation – qui devrait permettre de simplifier l’identification des patchs à déployer et de “calculer les ressources requises” – l’éditeur accompagne ses mises à jour d’un nouveau système de classification des vulnérabilités, le CVSS (Common Vulnerability Scoring System), un standard émergeant de classification des failles de sécurité.Comme précédemment, ces patchs sont cumulatifs. A l’exception de l’e-business, l’utilisateur qui les installera se protégera automatiquement des failles du trimestre, mais aussi de celles couvertes par les patchs qui ont précédé.Un détail a cependant éveillé l’attention des experts en sécurité, certaines failles figurant aujourd’hui dans la liste des patchs d’Oracle semblent identiques à des failles supposées corrigées précédemment dans les bases de données… Une tendance à répéter les corrections qui a de quoi alarmer les utilisateurs !