+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    598
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 598
    Points : 12 411
    Points
    12 411

    Par défaut Oracle corrige 136 failles de sécurité dont plusieurs sont exploitables sans authentification

    Oracle corrige 136 failles de sécurité dont plusieurs sont exploitables sans authentification
    la firme encourage vivement l'adoption des correctifs

    Oracle vient de publier des mises à jour de correctifs pour 49 de ses produits. Ces mises à jour considérées comme critiques par la firme contiennent pas moins de 136 nouveaux correctifs de sécurité. Elles viennent corriger un nombre important de failles détectées dans les produits d’Oracle parmi lesquels on peut citer les bases de données (Berkeley DB, MySQL), les produits de virtualisation Linux, Java SE, Solaris, les serveurs GlassFish, la suite d’application de tests, les produits pour la suite de collaboration, etc.

    Bien que les détails pour l’exploitation de ces failles détectées n’aient pas été donnés, Oracle recommande toutefois d’appliquer dès que possible ces correctifs publiés. Et pour cause, « dans certains cas, il a été rapporté que les attaquants ont eu du succès parce que les clients ciblés n’avaient pas appliqué les correctifs d’Oracle qui étaient disponibles », a signalé Oracle.

    En sus, Oracle fait remarquer que nombre de ces failles contenues dans les applications sont exploitables à distance. En parcourant la matrice des risques fournissant des informations sur la criticité des failles selon la version 2 du standard Common Vulnerability Scoring System (CVSS), on note que sept failles ont un score de 10.

    Nous rappelons que CVSS est un standard classant la sévérité des failles selon des critères appelés métriques. Ces métriques sont au nombre de trois à savoir, la métrique de base, la métrique temporelle et la métrique environnementale. La pondération de ces métriques permet d’obtenir un score partant de 0 à 10, avec 10 comme le score ou le niveau de criticité maximum.

    Pour obtenir les scores des failles qui viennent d’être corrigées, Oracle souligne qu’elle a utilisé les deux versions du standard CVSS, notamment la version 2 et la version 3. Les scores des failles peuvent être comparés en utilisant le rapport des deux versions. Toutefois, pour les prochaines mises à jour critiques des correctifs et alertes de sécurité, Oracle précise que seule la version 3.0 de CVSS sera utilisée pour décrire la sévérité des failles découvertes.

    Aussi, convient-il de souligner qu’avec la version 3.0 de CVSS, aucune faille n’a atteint le score de 10. Mais ce n’est pas pour autant qu’on doit la considérer comme étant beaucoup plus souple, bien au contraire. En parcourant la matrice des risques générée avec la version 3.0, on note plus de failles critiques et celles ayant un haut niveau de sévérité par rapport à la version 2.0 de CVSS.

    Et pour ce qui concerne les correctifs publiés, Oracle explique que cinq failles de sécurité ont été corrigées au niveau des serveurs de bases de données dont deux sont exploitables sans authentification. Au niveau de Fusion Middleware, 22 correctifs de failles ont été sortis et pour ces failles répertoriées, 21 peuvent être exploitées sans authentification. Du côté de Java SE, neuf nouvelles failles de sécurité ont été corrigées et elles, toutes peuvent être exploitées sans authentification. Mysql enregistre pour sa part 31 correctifs pour les failles détectées. Quatre d’entre elles peuvent être exploitées sans avoir besoin d’identifiants de la victime. Pour ce qui est de la suite des produits Oracle, 18 failles ont été corrigées avec 12 qui peuvent être exploitées sans authentification.

    En dehors de ces produits, plusieurs autres failles ont été corrigées dont la plus ancienne date de 2011 avec pour code CVE-2011-4461. Elle permet à un attaquant de provoquer un déni de service en envoyant de nombreux paramètres particuliers à une table de hachage.

    Source : Oracle

    Et vous ?

    Que pensez-vous du nombre relativement élevé de failles corrigées ? De quoi alarmer les utilisateurs des produits Oracle ?

    Voir aussi

    Forum Oracle

  2. #2
    Membre expérimenté
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    675
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 675
    Points : 1 490
    Points
    1 490

    Par défaut

    elle devrait encourager l'abandon de java plutôt ou alors le revendre a quelqu'un qui sait ce qu'il fait et qui est compétant comme létait sun.

  3. #3
    Membre émérite
    Avatar de Voïvode
    Profil pro
    Inscrit en
    mars 2007
    Messages
    433
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2007
    Messages : 433
    Points : 2 480
    Points
    2 480

    Par défaut

    Citation Envoyé par Aiekick Voir le message
    elle devrait encourager l'abandon de java plutôt[…]
    • Racheter une société 7,4 milliards $ pour ensuite se débarrasser de son plus gros produit ?
    • Oracle n’a aucune raison d’abandonner Java qui n’est pas près de mourir, quoi qu’en pensent les détracteurs de ce langage.


    Citation Envoyé par Aiekick Voir le message
    […]ou alors le revendre a quelqu'un qui sait ce qu'il fait et qui est compétant comme létait sun.
    • Java était dans un état catastrophique au moment du rachat de Sun : Java 6 avait déjà 4 ans et Java 7 était devenu une arlésienne vidée de ses projets les plus prometteurs.
    • L’épisode noir de Java 7 sur la sécurité est dû en partie à la mauvaise gestion de la sécurité par Oracle, mais certaines failles révélées notamment par Gowdiak étaient vieilles de 10 ans.
    • Oracle a restauré une certaine stabilité dans le rythme des versions (on pourra vraiment l’affirmer si Java 9 sort bien l’an prochain).
    • Le hiatus entre Oracle JDK et OpenJDK s’est en grande partie refermé, permettant de clarifier la situation sous Linux.


    Tout n’est pas rose, évidemment. Le procès contre Google, le licenciement des évangélistes, l’apparent manque de coopération avec les fondations Java et le manque d’intérêt pour JavaFX trahissent que la gestion par Oracle peut être opaque et brutale. De là à parler d’incompétence et d’enterrer Java…

  4. #4
    Membre éclairé
    Homme Profil pro
    Inscrit en
    juin 2010
    Messages
    317
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France

    Informations forums :
    Inscription : juin 2010
    Messages : 317
    Points : 856
    Points
    856

    Par défaut

    Merci pour l'info !

    Citation Envoyé par Olivier Famien Voir le message
    Que pensez-vous du nombre relativement élevé de failles corrigées ? De quoi alarmer les utilisateurs des produits Oracle ?
    Tout produit informatique est voué à avoir des failles, puisqu'ils sont fait par des humains.
    Mieux vaut le savoir tôt que tard Quant à savoir si ces failles auraient pu être détectées plus tôt... ma foi, c'est une autre discussion.
    "Donnez un poisson à un Homme, et il mangera un jour. Apprenez-lui à pêcher, et il mangera tous les jours."

  5. #5
    Membre expérimenté
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    675
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 675
    Points : 1 490
    Points
    1 490

    Par défaut

    un ordinateur ne peux donc pas faire d'erreurs d’après ce que tu dit ? on en reparlera dans quelques années quand les ia autonomes debarqueront

  6. #6
    Nouveau membre du Club
    Profil pro
    Inscrit en
    novembre 2010
    Messages
    18
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : novembre 2010
    Messages : 18
    Points : 28
    Points
    28

    Par défaut

    Aiekick
    un ordinateur ne peux donc pas faire d'erreurs d’après ce que tu dit ? on en reparlera dans quelques années quand les ia autonomes debarqueront
    Un ordinateur ne fait pas d'erreur, il suit son exécution, donc si l'IA est mal programmé, pas de sa faute mais celle du dév

  7. #7
    Rédacteur
    Avatar de SQLpro
    Homme Profil pro
    Expert SGBDR & SQL, spécialiste Microsoft SQL Server
    Inscrit en
    mai 2002
    Messages
    16 754
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Expert SGBDR & SQL, spécialiste Microsoft SQL Server
    Secteur : Conseil

    Informations forums :
    Inscription : mai 2002
    Messages : 16 754
    Points : 38 927
    Points
    38 927

    Par défaut

    Citation Envoyé par Olivier Famien Voir le message
    Que pensez-vous du nombre relativement élevé de failles corrigées ? De quoi alarmer les utilisateurs des produits Oracle ?
    Qu'un éditeur corrige ses failles c'est bien. Mais combien en reste-il encore ?
    Ce n'est d'ailleurs pas tant la correction des failles, mais son nombre important et la durée entre la découverte et la correction.
    Et là malheureusement Oracle est très, très mauvais !

    Ce n'est d'ailleurs pas entièrement de sa faute... Mais racheter des produits hyper bugués comme MySql est évidemment une problématique et Oracle y a sa part de responsabilité...

    Toutes les études montre que Oracle qui se proclamait "unbreakable" est l'un des plus mauvais éditeur dans le domaine de l'informatique professionnelle.
    Que ce soit au niveau des SGBD :
    http://www.securityweek.com/massive-...-patch-tuesday
    Comme des produits de bureautique :
    https://insights.sei.cmu.edu/cert/20...penoffice.html

    Cela ne date pas d'aujourd'hui et ne fait qu'empirer...
    https://blogs.microsoft.com/cybertru...parison-paper/

    A +
    Frédéric Brouard - SQLpro - ARCHITECTE DE DONNÉES - expert SGBDR et langage SQL
    Le site sur les SGBD relationnels et le langage SQL: http://sqlpro.developpez.com/
    Blog SQL, SQL Server, SGBDR : http://blog.developpez.com/sqlpro
    Expert Microsoft SQL Server - M.V.P. (Most valuable Professional) MS Corp.
    Entreprise SQL SPOT : modélisation, conseils, audit, optimisation, formation...
    * * * * * Enseignant CNAM PACA - ISEN Toulon - CESI Aix en Provence * * * * *

Discussions similaires

  1. Réponses: 0
    Dernier message: 25/02/2014, 19h58
  2. Réponses: 0
    Dernier message: 09/05/2012, 09h54
  3. Réponses: 4
    Dernier message: 08/04/2011, 11h51
  4. Réponses: 0
    Dernier message: 17/10/2009, 04h47
  5. Microsoft corrige 19 failles de sécurité dont 5 critiques
    Par Gordon Fowler dans le forum Actualités
    Réponses: 6
    Dernier message: 12/08/2009, 17h34

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo