Si vous ne pouvez pas, je vous recommande d’isoler la machine qui doit exécuter Java 6 et de ne pas l’utiliser pour une quelconque activité exigeant une connexion à Internet, notamment la messagerie ou la navigation sur Internet.

Le reste de la mise à jour CPU de ce mois-ci comprend 76 mises à jour concernant la plupart des gammes de produits Oracle. De nombreuses vulnérabilités traitées fournissent un accès à distance et non authentifié au pirate et doivent faire partie de vos priorités de remédiation, en particulier pour les applications exposées sur Internet.

Voici notre liste de priorités pour cette mise à jour :

Ce trimestre, le SGBDR d’Oracle bénéficie de 4 mises à jour pour des vulnérabilités toutes exploitables à distance. La vulnérabilité au sein de l’analyseur XML affiche le score CVSS le plus élevé, soit 6 sur une échelle de 10. Avec un facteur de mitigation cependant, à savoir que les bases de données Oracle sont généralement non exposées sur Internet.

8 nouvelles vulnérabilités ont été traitées sur la base de données MySQL d’Oracle, le score le plus élevé de 8,5 étant attribué au composant de supervision MySQL. Cependant, toutes les vulnérabilités accessibles via le réseau exigent une authentification, notamment deux qui sont accessibles à distance et dont le score CVSS est de 6,8. MySQL est souvent exposé sur Internet, même si ce n’est pas la meilleure pratique recommandée. Si votre entreprise utilise MySQL, il est conseillé d’effectuer une analyse périmétrique pour collecter des informations sur l’ensemble des bases de données exposées de manière externe.

La gamme de produits Sun fait l’objet de 12 mises à jour, avec un score élevé de 6,9 sur un module d’administration de serveur SPARC (ILOM). En règle générale, l’accès à ces modules doit être étroitement contrôlé. En effet, ces derniers fournissent de très puissantes fonctions d’administration telles que la mise sous et hors tension. Cependant, des travaux de recherche tout récents démontrent que ces interfaces critiques se retrouvent souvent sur Internet. Si votre entreprise utilise des serveurs Sun Solaris, appliquez ces patchs en commençant par les machines installées dans votre périmètre et sur la DMZ.

Au total, Fusion Middleware d’Oracle présente 17 vulnérabilités, dont 12 accessibles à distance, et affiche un score CVSS maximum de 7,5. ll peut être utile d’avoir une carte des produits Oracle Fusion Middleware (notamment Identity Manager, GlassFish ou Oracle Weblogic) installés dans votre entreprise pour décider des patchs à appliquer en priorité.

Fusion comprend également le produit Outside-In utilisé dans Microsoft Exchange (ainsi que d’autres solutions logicielles) et qui est dédié à la consultation de documents. Microsoft a traité les vulnérabilités CVE-2013-2393, CVE-2013-3776 et CVE-2013-3781 dans son bulletin Patch Tuesday d’août MS13-061. Il faut donc s’attendre à ce que les nouvelles vulnérabilités CVE-2013-5791 et CVE-2013-3624 entraînent la diffusion d’une nouvelle version d’Exchange de la part de Microsoft.

Parmi les autres gammes de produits faisant l’objet de mises à jour de sécurité figurent notamment Peoplesoft, E-Business et Virtualization.

Afin de gérer efficacement une diffusion de patchs aussi importante et qui concerne plus de 120 vulnérabilités, nous vous invitons à procéder dans l’ordre suivant : commencez par Java qui est le logiciel le plus concerné dans cette CPU, puis enchaînez avec les vulnérabilités affectant les services exposés sur Internet, notamment Weblogic, HTTP, etc. Si vos bases de données ne sont pas directement exposées sur Internet, et c’est tant mieux, vous aurez davantage de temps pour leur appliquer les tout derniers niveaux de patch.