Oracle nous gratifie une nouvelle fois d'une mise à jour trimestrielle des plus riche, avec pas moins de 101 correctifs.
Oracle nous gratifie une nouvelle fois d'une mise à jour trimestrielle des plus riche, avec pas moins de 101 correctifs.
En multipliant la profondeur de son offre, des bases de données aux applications, Oracle ne pouvait manquer de multiplier inévitablement les vulnérabilités, et donc les mises à jour.
Ce jour, Oracle met donc en ligne 101 correctifs. Les bases de données cumulent 63 correctifs, les applications serveurs 14 correctifs, les suites de commerce életronique 13 correctifs. Quant à PeopleSoft et J.D. Edwards, ils occupent 9 corrections de vulnérabilités.
45 failles ont été identifiées comme ne nécessitant pas une authentification de l'attaquant pour être exploitables à distance. Elles marquent la volonté de l'éditeur d'informer ses clients sur les menaces. De même, pour la première fois Oracle accompagne ses mises à jour d'une documentation plus détaillée.
Avec cette documentation - qui devrait permettre de simplifier l'identification des correctifs à déployer et de «calculer les ressources requises» - l'éditeur accompagne ses mises à jour d'un nouveau système de classification des vulnérabilités, le CVSS (Common Vulnerability Scoring System), un standard émergeant de classification des failles de sécurité.
Comme précédemment, ces correctifs sont cumulatifs. À l'exception du commerce électronique, l'utilisateur qui les installera se protégera automatiquement des failles du trimestre, mais aussi de celles couvertes par les correctifs qui ont précédé.
Un détail a cependant éveillé l'attention des experts en sécurité, certaines failles figurant aujourd'hui dans la liste des correctifs d'Oracle semblent identiques à des failles supposées corrigées précédemment dans les bases de données... Une tendance à répéter les corrections qui a de quoi alarmer les utilisateurs !