:: Actualité ::
[Les News] [Recherche avancée] [SecALERT]
Oracle : 45 trous, peut mieux faire
Le correctif trimestriel des produits Oracle –plus connu sous le nom de CPU- compte dans sa dernière fournée une quinzaine de correctifs concernant un peu plus d’une quarantaine de failles. Un chiffre en légère baisse par rapport aux fournées précédentes : si le nombre d’instabilités semble constant, il englobe désormais WebLogic de BEA, Hyperion BI et TimesTen Database. La répartition des vulnérabilités découvertes, quand à elles, ne change pas énormément. Sont « traditionnellement » concernés Oracle Database, Oracle Application Server et Oracle E-Business Suite. Au total, 14 correctifs pour les produits base de données –dont 11 mises à jour pour 9i, 10g et 11g-, et 9 pour la galaxie Oracle Application Server. La E-Business Suite, dans ses versions 11i et R12, voit six trous de sécurité corrigés. La dangerosité générale estimée semble plus faible que par le passé. En effet, affirment les ingénieurs d’Oracle, tous les défauts constatés ne sont exploitables qu’après authentification. Cela ne veux pas dire « impossible à utiliser par un pirate », mais implique que ce dernier devra, d’une manière ou d’une autre, « bruteforcer » le serveur ou récupérer des crédences par un autre moyen. Cette vision des choses explique la raison pour laquelle l’indice de risque publié sur le Security Blog de l’éditeur ne dépasse pas 6.8 sur une échelle de 1 à 10.
Remarquons au passage que les analyses de CPU ne semblent plus tellement à la mode, ces derniers temps. Commenter les plaies et bosses des grands outils « métier » aurait-il une odeur de prétoire qui ferait fuir les plus téméraires ? Toujours est-il que, depuis plus d’un trimestre, ni le NGSS des frères Litchfield, ni le site d’Alexander Kornbrust, Red Database Security n’ont émis le moindre avis ou la plus petite critique sur les précédentes CPU.
|
