Oracle corrige 284 vulnérabilités sur plusieurs de ses produits dans son critical patch update de janvier 2019

Oracle a corrigé 284 vulnérabilités lors du Critical Patch Update publié le 15 janvier. Parmi les vulnérabilités corrigées, une trentaine peuvent être considérées comme critiques et portent sur des produits comme Fusion Middleware et MySQL.

Selon une analyse d’ERPScan, les principaux points à souligner sur ce patch sont :

• 178 des 284 vulnérabilités corrigées (63%) affectent une gamme d'applications métier, à savoir PeopleSoft, E-Business Suite, Fusion Middleware, Retail, produits JD Edwards, serveurs de bases de données, applications de services financiers, applications utilisées dans le domaine de la santé et Supply Chain Products Suite. Près de 84% de ces vulnérabilités peuvent être exploitées à distance sans authentification ;
• Des scores CVSS très élevés (9.8) ont été constatés sur 28 vulnérabilités affectant des solutions métiers et sectorielles largement utilisées, comme des produits JD Edwards et des applications Retails ;
• Comme pour le mois d'octobre, Fusion Middleware est la solution la plus affectée avec 62 vulnérabilités : 92% d'entre elles peuvent être exploitées à distance sans avoir besoin de privilèges. La criticité de ces failles est haute : 4 ont un score CVSS égal à 9.8.

Les principales vulnérabilités corrigées sont référencées de la manière suivante :

• CVE-2016-4000 [CVSS v3 9.8] : une vulnérabilité sur Banking Platform et Utilities Network Management System, exploitable à distance via des requêtes HTTP. Elle a pour origine l’interpréteur Python pour machine virtuelle Java. Son exploitation est simple et ne nécessite pas de privilèges. Elle conduirait à une compromission totale du système.
• CVE-2016-1000031 [CVSS v3 9.8] : une vulnérabilité présente sur quatre catégories de produits différentes, plus particulièrement dans un composant apache utilisé pour le téléversement de fichiers. Elle est facilement exploitable à distance en HTTP et entrainerait la compromission totale du système.
• CVE-2017-5645 [CVSS v3 9.8] : une autre vulnérabilité présente sur quatre catégories de produits Oracle, à nouveau sur un composant Apache, l'utilitaire de journalisation Log4j. Un attaquant pourrait l'exploiter à distance pour exécuter du code arbitraire sur le système. Une attaque de ce type est facile à mettre en œuvre et ne nécessite pas de privilèges.
• CVE-2015-8965 [CVSS v3 9.8] : une vulnérabilité présente dans les produits Oracle Supply Chain, plus particulièrement dans l'outil de visualisation JViews. Son exploitation permettrait d’exécuter du code Java arbitraire, potentiellement avec des droits d'administration. Elle peut être facilement réalisée à distance.

Enfin parmi les autres correctifs publiés de criticité moindre, on peut noter les éléments suivants :

• 14 correctifs pour Oracle EBS qui est un logiciel d'entreprise développé par Oracle permettant de gérer les processus métiers et de stocker des données clés. 9 vulnérabilités ont un score CVSS de 8.2 et peuvent toutes être exploitées à distance sans authentification. Une attaque réussie contre Oracle EBS pourrait permettre à un attaquant de dérober et de manipuler des informations stratégiques, en fonction des modules installés par l'organisation ;
• De nouveaux correctifs pour 5 vulnérabilités sur plusieurs versions de Java SE, toutes exploitables à distance sans authentification. Néanmoins l'évaluation de criticité réalisée par Oracle ne met aucune vulnérabilité à un score de plus de 6.1. Le bulletin Oracle contient des correctifs pour des failles dans les versions 6 et 7 de Java SE ;
• 11 correctifs pour les produits Sun Systems, majoritairement Solaris, dont 5 peuvent être exploitées à distance. Deux d'entre elles ont un score CVSS de 9.8 ;
• 30 correctifs pour VirtualBox dont 4 pour des vulnérabilités dont le score CVSS est supérieur ou égal à 8.2. Aucune n'est exploitable à distance.

Il est fortement recommandé aux entreprises et particuliers clients des produits Oracle d’appliquer les mises à jour publiées le plus rapidement possible et de s'assurer que les mises à jour des précédents Critical Patch Update ont aussi été appliquées.