Oracle ne ménage pas ses utilisateurs avant le week-end de Pâques. L’entreprise a publié une série de mises à jour de sécurité trimestrielles visant 297 vulnérabilités, ainsi qu’un avertissement urgent concernant un correctif à installer dès à présent.
La dernière mise à jour Oracle critique traite des vulnérabilités concernant des dizaines de produits, y compris son groupe de produits Fusion Middleware, qui a reçu 53 nouveaux correctifs de sécurité, dont 42 pour des vulnérabilités qui pourraient en théorie être exploitées à distance au niveau d’un réseau n’utilisant pas d’identifiants.
Oracle E-Business Suite a fait l’objet de 35 nouveaux correctifs de sécurité dans la mise à jour Oracle critique, dont 33 pour des bugs exploitables à distance. La suite comprend des applications professionnelles, notamment la planification des ressources de l’entreprise, la gestion de la relation client et la gestion de la chaîne logistique.
Oracle Communications Applications, qui a reçu 26 correctifs de sécurité pour traiter des vulnérabilités, dont 19 étaient exploitables à distance, figurait également en bonne place sur la liste des groupes de produits concernés.
La suite d’applications commerciales du géant du logiciel compte 24 correctifs de sécurité, Oracle Database Server en comptait six, Java SE, acquis par Oracle avec Sun Microsystems en 2010, a reçu un correctif pour cinq failles.
Oracle souhaite que ses clients corrigent les correctifs le plus rapidement possible et évitent toute solution temporaire. L’entreprise a déclaré :
Oracle continue de recevoir périodiquement des signalements faisant état de tentatives d’exploitation malveillante de vulnérabilités pour lesquelles Oracle a déjà publié des correctifs. Dans certains cas, il a été signalé que des attaquants avaient réussi de telles attaques car des clients ciblés n’avaient pas réussi à installer les correctifs Oracle disponibles. Par conséquent, Oracle recommande vivement aux clients d’utiliser les versions prises en charge activement et d’installer sans délai les correctifs publiés dans la mise à jour Oracle critique.
Le nombre de vulnérabilités semble élevé, mais il est cohérent avec celui d’une entreprise proposant une gamme de produits aussi vaste. La mise à jour Oracle critique de janvier 2019 a corrigé 284 bugs, tandis que celle d’octobre 2018 en comptait 301.
Oracle pourrait aider à résoudre les problèmes de correctifs de sécurité rencontrés par certains utilisateurs en les faisant migrer vers le cloud. Espérons que les services que l’entreprise corrige automatiquement au niveau de sa propre infrastructure seront plus fiables pour les utilisateurs que les services pour lesquels elle se dépêche de tester et de déployer des correctifs au niveau de ses propres serveurs.
L’année dernière, l’entreprise a annoncé un nouveau service de base de données pour le traitement des transactions en ligne dans le cloud, qui se répare automatiquement et automatise les mises à jour et les correctifs de sécurité pour les clients :
Les correctifs de sécurité sont automatiquement installés tous les trimestres. Cette méthode est beaucoup plus rapide que la plupart des bases de données à déclenchement manuelle, réduisant ainsi ce laps de temps pendant lequel les vulnérabilités peuvent être exploitées.
L’entreprise fait de son mieux pour renforcer son activité de services dans le cloud, qui, selon les dirigeants, constitue une activité offrant des marges plus élevées que celles dégagées par les logiciels on-premise.
Billet inspiré de Oracle issues nearly 300 patches in quarterly update, sur Sophos nakedsecurity.