Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Amol Sarwate, Qualys : Oracle, de nombreux correctifs pour le Critical Patch Update (CPU) de juillet

juillet 2011 par Amol Sarwate, responsable du laboratoire de recherche en vulnérabilités chez Qualys

Oracle a publié hier son trimestriel Critical Patch Update (CPU) qui comprend 78 vulnérabilités corrigées à travers des centaines de produits. L’acquisition par Oracle de sociétés comme PeopleSoft et Sun, ajoutée au portefeuille de produits diversifié qui lui est propre, rend ce CPU important et dense.

Notre priorité est de patcher les vulnérabilités que les attaquants peuvent exploiter à distance sans authentification et où les systèmes affectés pourraient être exposés au monde extérieur. Pour les utilisateurs de Sun, cette mise à jour comprend neuf vulnérabilités qui affectent Solaris (CVE-2011-2287, CVE-2011-2245, CVE-2011-2294, CVE-2011-2298) SPARC (CVE-2011-2288, CVE-2011-2299, CVE-2011-2307) et Oracle GlassFish Server(CVE-2011-1511, CVE-2011-2260). Les protocoles que les attaquants pourraient exploiter incluent SSH, HTTP, SSL et KSSL.

Notre deuxième priorité est de patcher les vulnérabilités qui sont exploitables à distance mais dont les produits concernés ne peuvent généralement pas être exposés à l’extérieur en raison de la ségrégation du réseau ou des pare-feux. Les correctifs d’Oracle Database serveur, Grid Control, Enterprise Manager et de PeopleSoft tombent dans cette catégorie. Les protocoles que les attaquants pourraient exploiter incluent Oracle Net et HTTP. Alors que certains des produits peuvent avoir une raison légitime d’être exposés en dehors du réseau de l’entreprise, nous conseillons vivement les organisations d’accéder à leurs infrastructures de réseau et de prioriser les correctifs en fonction de leur exposition.

Les correctifs sont de plus en plus importants. Mais en raison de la diversité des produits concernés, notre hypothèse est que de nombreuses grandes organisations peuvent avoir des équipes spécialisées travaillant sur des produits différents afin de rendre les correctifs trimestriels d’Oracle un peu plus gérable.




Voir les articles précédents

    

Voir les articles suivants