Amol Sarwate, Qualys : Oracle, de nombreux correctifs pour le Critical Patch Update (CPU) de juillet
juillet 2011 par Amol Sarwate, responsable du laboratoire de recherche en vulnérabilités chez Qualys
Oracle a publié hier son trimestriel Critical Patch Update (CPU) qui comprend 78 vulnérabilités corrigées à travers des centaines de produits. L’acquisition par Oracle de sociétés comme PeopleSoft et Sun, ajoutée au portefeuille de produits diversifié qui lui est propre, rend ce CPU important et dense.
Notre priorité est de patcher les vulnérabilités que les attaquants peuvent exploiter à distance sans authentification et où les systèmes affectés pourraient être exposés au monde extérieur. Pour les utilisateurs de Sun, cette mise à jour comprend neuf vulnérabilités qui affectent Solaris (CVE-2011-2287, CVE-2011-2245, CVE-2011-2294, CVE-2011-2298) SPARC (CVE-2011-2288, CVE-2011-2299, CVE-2011-2307) et Oracle GlassFish Server(CVE-2011-1511, CVE-2011-2260). Les protocoles que les attaquants pourraient exploiter incluent SSH, HTTP, SSL et KSSL.
Notre deuxième priorité est de patcher les vulnérabilités qui sont exploitables à distance mais dont les produits concernés ne peuvent généralement pas être exposés à l’extérieur en raison de la ségrégation du réseau ou des pare-feux. Les correctifs d’Oracle Database serveur, Grid Control, Enterprise Manager et de PeopleSoft tombent dans cette catégorie. Les protocoles que les attaquants pourraient exploiter incluent Oracle Net et HTTP. Alors que certains des produits peuvent avoir une raison légitime d’être exposés en dehors du réseau de l’entreprise, nous conseillons vivement les organisations d’accéder à leurs infrastructures de réseau et de prioriser les correctifs en fonction de leur exposition.
Les correctifs sont de plus en plus importants. Mais en raison de la diversité des produits concernés, notre hypothèse est que de nombreuses grandes organisations peuvent avoir des équipes spécialisées travaillant sur des produits différents afin de rendre les correctifs trimestriels d’Oracle un peu plus gérable.