Oracle : un énorme bulletin de sécurité trimestriel de 270 failles

Oracle a publié son bulletin trimestriel pour l’ensemble des failles de sécurité dans ses produits. L’éditeur signe presque un record avec pas moins de 270 vulnérabilités colmatées. Plus d’une centaine peuvent par ailleurs être exploitées à distance.

Chaque éditeur dispose de son propre cycle de corrections des failles. Sur ce point, Microsoft dispose par exemple depuis longtemps d’un roulement mensuel. Un cycle mis en place initialement à la demande des entreprises qui souhaitaient pouvoir planifier précisément les installations de correctifs, et donc le plus souvent le redémarrage des machines concernées. Chez Oracle, ce cycle est trimestriel et touche l’intégralité de ses produits.

Pour son premier bulletin de 2017, l’entreprise fait fort. Un lot de 270 failles est ainsi colmaté dans des produits comme Oracle Database Server, Oracle Enterprise Manager Grid Control, Oracle E-Business Suite, Oracle Industry Applications, Oracle Fusion Middleware, Oracle Sun Products, Oracle Java SE, et Oracle MySQL.

Il s’agit presque du record absolu pour Oracle, qui était grimpé à 276 failles corrigées en juillet 2016. Par contre, presque la moitié d’entre elles (118) sont exploitables à distance, rendant une bonne partie des brèches critiques. En outre, environ 20 % du bulletin se concentre sur la seule application financière FLEXCUBE, mais d’autres produits – notamment Java – reçoivent d’importants lots de correctifs.

Oracle recommande évidemment d’installer sans attendre l’ensemble des mises à jour. L’éditeur signale que par le passé, des entreprises ont été attaquées via des exploitations de brèches dont les correctifs existaient pourtant déjà.