Oracle a publié son bulletin trimestriel pour l’ensemble des failles de sécurité dans ses produits. L’éditeur signe presque un record avec pas moins de 270 vulnérabilités colmatées. Plus d’une centaine peuvent par ailleurs être exploitées à distance.
Chaque éditeur dispose de son propre cycle de corrections des failles. Sur ce point, Microsoft dispose par exemple depuis longtemps d’un roulement mensuel. Un cycle mis en place initialement à la demande des entreprises qui souhaitaient pouvoir planifier précisément les installations de correctifs, et donc le plus souvent le redémarrage des machines concernées. Chez Oracle, ce cycle est trimestriel et touche l’intégralité de ses produits.
Pour son premier bulletin de 2017, l’entreprise fait fort. Un lot de 270 failles est ainsi colmaté dans des produits comme Oracle Database Server, Oracle Enterprise Manager Grid Control, Oracle E-Business Suite, Oracle Industry Applications, Oracle Fusion Middleware, Oracle Sun Products, Oracle Java SE, et Oracle MySQL.
Il s’agit presque du record absolu pour Oracle, qui était grimpé à 276 failles corrigées en juillet 2016. Par contre, presque la moitié d’entre elles (118) sont exploitables à distance, rendant une bonne partie des brèches critiques. En outre, environ 20 % du bulletin se concentre sur la seule application financière FLEXCUBE, mais d’autres produits – notamment Java – reçoivent d’importants lots de correctifs.
Oracle recommande évidemment d’installer sans attendre l’ensemble des mises à jour. L’éditeur signale que par le passé, des entreprises ont été attaquées via des exploitations de brèches dont les correctifs existaient pourtant déjà.
Commentaires (32)
#1
même dans un gruyère tu as pas autant de trou :o
#2
Ça permet de compenser le bilan de microsoft qui était beaucoup trop tranquille pour les administrateurs système " />
#3
“mais d’autres produits – notamment Java – reçoivent d’importants lots de correctifs.”
Pléonasme j’ai envie de dire…
#4
#5
Malheureusement, il y aura toujours des failles à corriger. Les développeurs sont (encore) humains pour l’instant ^^
#6
Il y a pourtant bien des trous dans le camembert.
PS : Oui c’est juste pour faire chier." />
#7
Et ils le resteront longtemps…
Sinon il faut aussi relativiser…les 270 vulnérabilités sont sur différents produits…
#8
Non, tu as raison, il faut être précis. " />
#9
Et la densité de trous dans le camembert est bien supérieure à celle de l’emmental.
PS : Pour prolonger la chiure.
#10
Le problème du fromage à trous c’est que plus y’a de fromage plus y’a de trous, et que plus y’a de trous moins y’a de fromage
Sinon, soyons heureux, au moins ils bossent sur leurs failles, EUX !
#11
Le prochaine qui parle de trou dans le gruyère, le vrai, pas cette copie made in président, je le fouette.
#12
Au contraire de qui ?
#13
Tout dépend, si il s’agit de gruyère français et non suisse (ne pas confondre avec l’emmental)
#14
#15
Comment se fait-il que certaines failles aient un n° de CVE avec 2015 dedans et soient seulement patchées début 2017 ?
#16
+1 " />
#17
Il y a plus de failles dans leurs produits que de vulnérabilités comblées…
" /> " />
#18
#19
Ah la la le trolling sur Java ! Pour continuer sur des citations de Coluche vu que quelqu’un à commencé : “la culture c’est comme la confiture, moins on en a, plus on l’étale !”. Voilà voilà !
#20
Finalement la vraie question sur java :
est que c’est du code avec des failles dedans ou des failles avec du code autour ?
#21
#22
le précédent n’était pas mal non plus, avec un peu plus de 240 failles colmatées..
#23
La vraie question pour les admins IT est :
Finalement, n’y aurait-il pas moins de failles dans les (très) vieux Java, genre 1.6.0 ? " />
#24
#25
C’est que l’ensemble des produits. Par exemple la suite middleware comprend encore un nombre important de sous produits (soa, iam, bpm)
C’est ridicule de balancer que dans le gruyere il y a plus de trous et autres réflexions. Ceux qui parlent comme ça ne savent de toute évidence pas de quoi ils parlent
#26
#27
#28
#29
J’ai l’impression que le titre volontairement “putaclic”, comme beaucoup disent, est un contrôle de lecture de l’article.
#30
Pour répondre à je sais plus qui, Oracle c’est des failles et du code dedans.
😅😅😅😅
#31
la seule application financière FLEXOCUBE … , c’est FLEXCUBE.
#32