Le début de l’année est particulièrement occupé pour Oracle avec son cycle trimestriel de mises à jour de sécurité. La société a mis en ligne un total impressionnant de 603 correctifs, parmi lesquels certains doivent être implémentés en premier lieu.
L’entreprise Oracle, bien qu’elle ne fasse pas autant de bruit que Microsoft et ses Patch Tuesday, propose également des mises à jour de sécurité trimestrielles importantes. En ce début d’année, Oracle a déployé pas moins de 603 correctifs, dont 318 pour ses propres produits et 285 pour le code Linux qu’elle vend.
Focus sur deux failles anciennes
Certaines de ces mises à jour sont plus urgentes que d’autres. Eric Maurice, vice-président de la sécurité chez Oracle, a souligné l’importance du correctif CVE-2025-21556, qui permet de colmater une faille dans le cadre de gestion du cycle de vie des produits Agile (PLM) d’Oracle. Cette faille, notée 9,9 sur 10 en termes de gravité, pourrait permettre à un attaquant ayant un accès limité et un accès réseau de compromettre cet outil et, par extension, d’autres produits Oracle. Oracle a déjà émis une alerte à ce sujet en novembre 2024 et avait alors proposé un patch d’urgence. Le correctif inclus dans la mise à jour trimestrielle comprend des correctifs pour cette alerte ainsi que d’autres correctifs supplémentaires.
Un autre correctif important est celui de la faille CVE-2024-45492 dans la librairie d’analyse XML LibExpat utilisée par Oracle dans plusieurs de ses produits. Initialement traitée en août 2024 et classée 6,2 en gravité, cette vulnérabilité a été reclassée à 9,8 en décembre. Le NIST (Institut national des normes et de la technologie) attend de nouvelles analyses qui pourraient modifier les informations fournies à ce sujet. Oracle a publié en septembre 2024 la version 2.6.3 qui corrige ce problème. Les librairies de ce type sont souvent incluses dans des logiciels et peuvent être facilement oubliées. Chez Oracle, elles sont utilisées dans des produits destinés aux opérateurs de télécommunications, aux institutions financières et aux intergiciels.
Les télécoms et l’analytique, principaux destinataires des correctifs
Sur la longue liste des bulletins de sécurité, 85 correctifs sont destinés aux solutions de communication, une préoccupation majeure pour les opérateurs de télécommunications. 59 de ces vulnérabilités pourraient potentiellement permettre l’exécution de code à distance. Trois d’entre elles (CVE-2023-46604, CVE-2024-45492 et CVE-2024-56337) ont un score CVSS de 9,8 et six autres ont un score de 9,1 ou 9,0, quatre d’entre elles étant liées au système d’authentification Kerberos.
Les produits d’analyse nécessitent 26 correctifs. Quatre d’entre eux ont une note supérieure à CVSS 9,1 et trois se trouvent dans l’édition entreprise de Business Intelligence. Les deux correctifs les moins graves, notés 9,1, concernent des problèmes dans Apache XMLBeans et OpenSSL au sein du cadre de sécurité de la plateforme Business Intelligence. Parmi les deux failles de gravité 9,8, l’une concerne un bug « use-after-free » dans la bibliothèque SciPy de la plateforme, tandis que l’autre est liée à Pivotal Spring Framework lorsqu’il est utilisé pour la désérialisation Java de données non fiables.
285 correctifs pour Oracle Linux
JD Edwards bénéficie de 23 correctifs, dont deux classés CVSS 9,8. Le premier concerne l’outil de surveillance et de diagnostic pour EnterpriseOne Tools qui pourrait permettre une prise de contrôle totale des systèmes non corrigés. Le second est une vulnérabilité de traversée de répertoire dans Samba due à un nettoyage inadéquat des « named pipes » clients entrants. Du côté de MySQL, 39 correctifs sont disponibles dont trois avec une sévérité de 9,1. Deux d’entre eux concernent le système de packaging curl et Kerberos utilisé par MySQL et un autre se rapporte à la fonction Enterprise Backup – toujours avec curl. Bien que PeopleSoft n’ait reçu que 16 correctifs, il existe une faille critique pour les versions 8.60 et 8.61 d’Enterprise PeopleTools. Si elle était exploitée, cette faille pourrait permettre à un attaquant de copier toutes les données de l’application et/ou de la faire planter dans le cadre d’une attaque par déni de service.
Enfin, Oracle Linux reçoit 285 correctifs, mais seulement deux ont une gravité supérieure à 9. Ces deux failles concernent des vulnérabilités dans la bibliothèque gstreamer1-plugins-base. La première peut entraîner un débordement de la mémoire tampon et la seconde est une erreur d’écriture hors limites qui pourrait également entraîner une corruption de la mémoire.
0 commentaires