Un ensemble de 402 correctifs proposé par Oracle
Oracle a publié son dernier lot trimestriel de correctifs pour l’année pour les bugs de sécurité de ses produits. Un ensemble de 402 correctifs a donc été publié, dont la majorité sont jugés graves et critiques. D’après Tenable, 230 failles répertoriées par la CVE ont été corrigées sur 27 produits Oracle. Le géant de la base de données recommande fortement les clients de rester sur les versions activement prises en charge et d’appliquer les correctifs de sécurité Critical Patch Update le plus rapidement possible.
A cause de la menace posée par une attaque réussie, Oracle recommande fortement à sa clientèle d’appliquer les correctifs de sécurité Critical Patch Update le plus rapidement possible. Ceci permet de réduire le risque d’attaque réussie via le blocage des protocoles réseau requis pour une attaque.
Les produits concernés par la mise à jour de ce trimestre incluent :
- Oracle Enterprise Manager ;
- Spatial et graphique du Big Data ;
- un certain Cluster, Enterprise Monitor, Server et Workbench ;
- divers services financiers nombre de produits Fusion Middleware de marque Hyperion ;
- MySQL
- et applications axées sur la chaîne d’approvisionnement ;
- Produits Oracle Communications
- Produits et applications Oracle Financial Services
- Produits d'accueil et de vente au détail dans le secteur de la santé
- Produits Oracle Policy Automation
- Oracle VM VirtualBox
- Kit d'appliance de stockage Oracle ZFS
- Webcenter et Weblogic
Un nombre important de bugs sont exploitables sans nécessiter de privilèges spéciaux, comme ceux de la base de données Oracle TimesTen In-Memory (CVE-2018-11058, CVE-2017-5645, CVE-2019-1010239 et CVE-2019-0201). En plus, 41 des bugs corrigés dans Oracle Communications peuvent être exploités à distance sans nécessiter une quelconque authentification, ce qui signifie qu’il est possible de les exploiter sur un réseau sans détenir les informations d’identification de l’utilisateur.
La liste totale des mises à jour faisant partie de l’exécution trimestrielle des correctifs critiques d’Oracle est disponible sur leur site Web.