Cela comprend le nombre de correctifs de sécurité publiés par l’entreprise, qui avec la mise à jour Oracle de janvier 2020 a atteint le chiffre record de 334, et dont l’ordre de grandeur est proche de la tendance du mois de juillet 2018.

Contrairement à ses concurrents tels que Microsoft, Oracle ne publie que des correctifs de sécurité tous les trois mois, expliquant ainsi en partie la taille de ses mises à jour, qui avoisine désormais régulièrement les 300.

Un autre facteur est tout simplement le volume de logiciels dans le giron de l’entreprise : à savoir une centaine de produits et composants de produits uniquement dans la mise à jour Oracle de janvier.

Un élément qui saute aux yeux est que 60 individus et entreprises sont impliqués dans les signalements de la série de failles de sécurité de janvier, remontés à Oracle, dont un, Alexander Kornbrust, crédité de 41 CVE à lui seul.

Oracle a donc beaucoup de failles à corriger car, comme pour son rival Microsoft, beaucoup de gens les recherchent. Une telle tendance ne peut être qu’une bonne chose.

Serveur de base de données

Un total modeste de 12 CVE, dont trois sont déclarés exploitables à distance. Cinq sont considérées de gravité “Élevée“, qui, dans la nomenclature d’Oracle, est le niveau de gravité le plus élevé, en tenant compte de la facilité d’exploitation.

Applications Oracle Communications

Il s’agit d’une catégorie d’application relativement petite mais qui fait toujours l’objet de correctifs, cette fois-ci concernant 23 failles qui pourraient être exploitées à distance sans authentification, dont six ont des notes CVSS “Critiques” supérieures à 9.

Oracle Enterprise Manager

50 correctifs au total, dont 10 concernent des failles qui peuvent être exploitées à distance sans authentification, dont quatre ont des notes CVSS supérieures à 9. Toutefois, ces dernières dépendent des versions Oracle Database et Fusion Middleware utilisées.

Oracle Fusion Middleware

Un total de 30 vulnérabilités qui pourraient être exploitées à distance sans authentification, dont trois “Critiques” avec des notes CVSS supérieures à 9.

Virtualisation Oracle

Un total de 22 failles, dont trois pourraient être exploitées à distance avec authentification. Cela n’inclut pas les deux failles avec les notes les plus élevées, CVE-2020-2674 et CVE-2020-2682, affectant VM VirtualBox, qui nécessitent toutes deux un accès local. Cela semble rassurant, mais ne l’est pas en réalité car des attaquants pourraient exploiter cette catégorie de failles, grâce à un accès obtenu par d’autres moyens.

Le grand nombre de vulnérabilités et les interdépendances complexes associées peuvent rendre compliquée la compréhension de la page de mise à jour Oracle.

Cependant, il existe certaines CVE exceptionnelles, comme par exemple CVE-2019-2904, classée “Critique” avec une note CVSS de 9,8 et affectant plusieurs produits de l’entreprise.

Cette dernière remonte à octobre 2019, mais Oracle a vraisemblablement étendu la gamme de produits concernés, d’où sa réapparition. Il s’agit d’une autre facette des correctifs Oracle : à savoir que des failles peuvent faire leur apparition pendant un certain temps avant de sortir du système une fois corrigées.

Oracle donne, comme tous les mois, les mêmes conseils en matière de mise à jour :

Oracle continue de recevoir périodiquement des signalements de tentatives d’exploitation malveillante de vulnérabilités pour lesquelles Oracle a déjà publié des correctifs de sécurité. Dans certains cas, il a été signalé que les attaquants avaient réussi leurs attaques car les clients ciblés n’avaient pas été en mesure d’installer les correctifs Oracle pourtant disponibles.

Billet inspiré de Oracle’s January 2020 update patches 334 security flaws, sur Sophos nakedsecurity.



Source link

Write a comment:
*

Your email address will not be published.