Le bulletin préliminaire du Critical Patch Update trimestriel d’Oracle annonce 405 correctifs à appliquer à 25 familles de logiciels. Un certain nombre de failles sont critiques, avec une notation CVSS v3.0 de 9.8. Le détail de ces vulnérabilités devrait être communiqué dans la journée par le fournisseur.
Parmi les logiciels d’Oracle touchés par des failles critiques à corriger rapidement figurent notamment Communications Applications, Financial Services Applications, Fusion Middleware et MySQL. (Crédit : Pixabay / Peggy_Marco)
La mise à jour de sécurité trimestrielle d’Oracle sera livrée aujourd’hui 14 avril. Selon le bulletin préliminaire publié par le fournisseur américain, elle vient pour l’instant corriger 405 vulnérabilités de sécurité dont certaines sont critiques. Les informations fournies sont encore sujettes à modification, mais on sait déjà que 13 logiciels sont affectés de vulnérabilités critiques présentant une notation CVSS v3.0 de 9.8 et que 286 des failles corrigées peuvent être exploitées à distance sans authentification.
Les produits ou familles de logiciels concernés par ces failles critiques notées 9.8 sont Communications Applications, Construction and Engineering, Enterprise Manager, Financial Services Applications, Fusion Middleware, GraalVM, JD Edwards, Knowledge, MySQL, Retail Applications, Supply Chain, Support Tools et, enfin, Oracle Systems. Toutes ces familles de produits comportent, parfois de façon importante, des failles exploitables à distance sans authentification. A titre d’exemple, Communications Applications en compte 35 sur un total de 39 vulnérabilités corrigées, tandis que Financial Services Applications en présente 16 sur un total de 34 failles. Dans la gamme Fusion Middleware se trouvent 49 failles exploitables à distance sur 56 au total alors que MySQL en compte 9 sur 45 failles. Le bulletin préliminaire donne le détail des versions de logiciels affectées.
74 correctifs pour l’E-Business Suite
L’ERP E-Business Suite reçoit quant à lui 74 correctifs dont 71 sont exploitables à distance, la faille la plus sévère étant notée 8.2, tandis que PeopleSoft voit corriger 14 failles dont la plus importante est notée 8.6. Sur Database Server, le score CVSS 3.0 le plus élevé est de 8.0, la base de données d’Oracle recevant 9 correctifs dont 2 pour des failles exploitables à distance. Sur Java SE, 15 correctifs sont livrés, la faille la plus sévère étant notée 8.3. D’autres logiciels sont concernés par ce Critical Patch Update trimestriel, mais pour un nombre plus réduit de vulnérabilités. Parmi eux, Global Lifecycle Management, Secure Backup, Food and Beverage Applications, Health Sciences Applications, Hyperion, Siebel CRM, Utilities Applications et Virtualization.
D’autres détails sur l’ensemble de cette mise à jour seront fournis d’ici la fin de la journée par Oracle. C’est également aujourd’hui que Microsoft effectue sa livraison mensuelle de correctifs de sécurité (ancien Patch Tuesday).