Oracle a annoncé mardi, le 19 Octobre, la publication de son Patch trimestriel qui comprend un total de 419 correctifs de sécurité pour les vulnérabilités dans l’ensemble du portefeuille de la société. Un attaquant distant pourrait exploiter certaines de ces vulnérabilités pour prendre le contrôle d’un système affecté.

Un peu plus de la moitié des correctifs corrigent des vulnérabilités qui pourraient être exploitées à distance sans authentification, a annoncé Oracle.
Sur les 419 correctifs, 36 traitent de vulnérabilités critiques, dont une avec un score CVSS de 10 ainsi que 60 vulnérabilités avec un score CVSS compris entre 8 et 9. De plus, 56 vulnérabilités pourraient être exploitées à distance sans authentification.

MySQL a également reçu un grand nombre de correctifs, à savoir 66. L’exploitation de 10 des problèmes résolus peut se faire à distance, sans authentification.

Parmi les autres logiciels, Oracle a reçu plus de dix correctifs, on peut compter Retail Applications (26 correctifs – dont 9 failles exploitables à distance sans authentification), Communications Applications (19 – 14), E-Business Suite (18 – 4), PeopleSoft (17 – 8), Insurance Applications (16 – 11), Java SE (15 – 13), Construction and Engineering (12 – 7) et JD Edwards (11 – 8).

Oracle a également publié des correctifs de sécurité pour Commerce, Database Server, Essbase, Enterprise Manager, GoldenGate, Graph Server and Client, Health Sciences Applications, Hospitality Applications, Hyperion, REST Data Services, Secure Backup, Siebel CRM, Supply Chain, Systems, Utilities Applications et Virtualization.

La société a annoncé que, bien qu’aucun nouveau correctif n’ait été publié pour Global Lifecycle Management, NoSQL, Spatial Studio et SQL Developer, les mises à jour qui les déploient corrigent les vulnérabilités tierces.

Certains des correctifs de sécurité publiés pour d’autres logiciels Oracle corrigent également des vulnérabilités supplémentaires, y compris dans des composants tiers.

Comme d’habitude, Oracle exhorte les utilisateurs et les administrateurs à appliquer les correctifs nouvellement publiés en temps opportun, avertissant que les attaquants ciblent constamment les vulnérabilités connues de ses produits, pour lesquelles des correctifs sont disponibles.
« Dans certains cas, il a été signalé que les attaquants ont réussi parce que les clients ciblés n’avaient pas appliqué les correctifs Oracle disponibles. Oracle recommande donc vivement aux clients de rester sur des versions activement prises en charge et d’appliquer sans délai les correctifs de sécurité Critical Patch Update », explique la société.

De même, CISA encourage les utilisateurs et les administrateurs à consulter la mise à jour critique d’Octobre 2021 d’Oracle et à appliquer ses mises à jour nécessaires.