La mise à jour Java doit être appliquée dès que possible aux postes de travail et serveurs. Elle contient des correctifs pour 10 vulnérabilités hautement critiques qui ont toutes un score CVSS de 10, et sont exploitables à distance sans authentification. Oracle salue un certain nombre d’acteurs qui ont contribué à la découverte de vulnérabilités, dont notamment Security Explorations, une entreprise de sécurité polonaise qui avait soumis un grand nombre de vulnérabilités à Oracle en Avril dernier.

Le Critical Patch Update contient 109 correctifs pour des produits majeurs d’Oracle. Le SGBDR Oracle est mis à jour pour faire face à une faille rendue publique plus tôt le mois dernier lors de la conférence de sécurité Ekoparty (CVE-2012-3137). Cette vulnérabilité possède le plus haut score CVSS (10), au moins lors de l’exécution sous Windows. Le produit MySQL d’Oracle reçoit également une nouvelle version qui corrige 14 vulnérabilités, dont deux peuvent être accessibles à distance avec authentification. Les produits Oracle Solaris et Glassfish sont affectés par des failles ayant les mêmes vulnérabilités exploitables à distance. Leurs utilisateurs doivent prêter une grande attention aux correctifs fournis. Parmi les gammes de produits concernées : Oracle Fusion Middleware, Peoplesoft, JD Edwards.

Avec un nombre de vulnérabilités corrigées si élevé, il est essentiel d’avoir une vue claire des applications installées au sein de votre entreprise, afin de planifier le déploiement de ces correctifs. Nous vous recommandons de commencer par les services exposés, et notamment le patch Java sur les postes de travail, Solaris, Glassfish et potentiellement MySQL sur les serveurs connectés à Internet. Le SGBDR Oracle est affecté par une vulnérabilité connue du public, ce qui en fait un autre candidat pour un déploiement accéléré de la mise à jour.