Dans le cadre du plan annoncé précédemment par Oracle et visant à augmenter la fréquence des mises à jour de sécurité Java d'une tous les quatre mois à une tous les trois mois, l'éditeur à intégré Java dans son Critical Patch Update (CPU) trimestriel. La nouvelle version Java SE 7 Update 45 ( 7u45 ) publiée mardi contient ainsi 51 des 127 correctifs de sécurité présents dans le CPU. Cinquante de ces correctifs concernent d'ailleurs des failles qui peuvent être exploitées à distance sans authentification. 12 d'entre elles sont en outre marquées du plus haut indice de gravité possible, une information signifiant la possibilité de prendre le contrôle intégral du système d'exploitation sous-jacent.

Sur les 51 vulnérabilités corrigées dans la mise à jour de Java, 40 n'affectent que les déploiements de clients comprenant le plug-in navigateur Java Web fréquemment ciblée et 8 touchent à la fois le client et le déploiement de serveurs. Ces vulnérabilités peuvent être exploitées par des applications Java Web Start ou par les applets Java, et, dans le cas de défauts affectant également les déploiements de serveurs, par l'envoi de données aux interfaces de programmes d'application (API) dans les composants vulnérables. Deux autres vulnérabilités Java évoquées dans le patch affectent quant à elles les sites utilisant l'outil Javadoc en tant que service et accueillant la documentation qui en résulte. Rappelons que l'outil Javadoc est utilisé pour créer des fichiers de documentation HTML. La dernière vulnérabilité affecte jhat, un outil de développement qui peut être utilisé pour effectuer une analyse de tas Java.

Un grand nombre de produits Oracle concernés


Les 76 autres correctifs de sécurité dans le CPU ne sont quant à eux pas liés à Java et s'attaquent à des vulnérabilités dans les familles de produits Oracle suivantes: Database, Fusion Middleware, Enterprise Manager Grid Control, E -Business Suite, Supply Chain Produits Suite, PeopleSoft Enterprise, Siebel CRM, Oracle iLearning, industry Applications, FLEXCUBE, Primavera, and Sun Systems Products Suite, Linux, Virtualization et MySQL. Deux vulnérabilités ont par ailleurs été corrigées dans Database Server. Elles pouvaient être exploitées à distance sans authentification et auraient pu entraîner une compromission partielle de la confidentialité des données. «La correction de l'une d'entre elles exige des clients qu'ils activent le chiffrement réseau entre les clients et les serveurs si les données sont envoyées sur des réseaux non sécurisés» a précisé dans un billet de blog Eric Maurice, le directeur de l'assurance de logiciels Oracle. En plus de ces deux vulnérabilités, deux autres qui s'appliquent à Fusion Middleware menacent également les déploiements de bases de données.

Des correctifs disponibles pour Java 6 et Java 5


En plus de Java 7 Update 45 , Oracle a également publié Java 6 Update 65 et Java 5 Update 55 qui corrigent des vulnérabilités s'appliquant à ces anciennes versions. Cependant ces nouvelles mises à jour de sécurité ne sont disponibles que pour les clients ayant des contrats de support étendus. «Afin de gérer efficacement un tel patch avec plus de 120 vulnérabilités , nous vous conseillons de procéder dans l'ordre suivant : d'abord Java , car il est le logiciel le plus attaqué, puis les vulnérabilités sur les services qui sont exposés à Internet, tels que Weblogic, HTTP et d'autres» à déclaré Wolfgang Kandek, directeur technique de Qualys, une entreprise spécialisée dans la gestion des vulnérabilités. «J'espère que vos bases de données ne sont pas directement exposés à Internet , ce qui devrait vous donner plus de temps pour amener les derniers niveaux de correctifs».