Trimestrielle, la mise à jour de sécurité d’Oracle qui vient d’être livrée ce 19 avril comporte 520 correctifs pour 31 familles de logiciels du fournisseur. On trouve en regard 221 bulletins CVE, 27 d’entre eux détaillant 77 failles critiques. Parmi les vulnérabilités à corriger rapidement, certaines peuvent être exploitées par des attaquants pour prendre le contrôle des systèmes affectés. Deux CVE ont un score de 10.0 sur le système CVSSv3, le niveau de plus élevé de sévérité, relève la firme de sécurité Tenable dans un billet. La première, CVE-2022-22947, concerne Oracle Communications et peut être exploitée par un attaquant non authentifié ayant un accès réseau via http. La deuxième, CVE-2022-21431, logée dans le composant Connection Manager du produit Oracle Communications Billing and Revenue Management peut également être exploitée par un attaquant non authentifié, cette fois à travers un accès réseau via TCP qui lui donnera un contrôle complet sur le service.

Sur le Critical Patch Update (CPU) de ce trimestre, c'est d'ailleurs la famille de produits Oracle Communications qui réunit le plus de correctifs : 149. L'autre gamme la plus concernée est Fusion Middleware avec 54 correctifs. Au total, sur l’ensemble de la mise à jour, outre les 77 failles critiques, 141 ont un degré de sévérité élevé, 287 sont moyennement sévères et les 15 dernières présentent un danger moindre, résume Tenable.

Faille sensible dans Java SE sur les signatures crytographiques 

Parmi les failles également identifiées comme sensibles, de multiples vulnérabilités ont été trouvées dans Java SE, affectant GraalVM Enterprise Edition versions 20.3.5, 21.3.1 et 22.0.0.2 et Java SE versions 7u331, 8u321, 11.0.14, 17.0.2 et 18, ainsi que le mentionne un bulletin du Cert.ssi.gouv.fr. « Certaines d’entre elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données », indique le site. En particulier, le bulletin CVE-2022-21449, auquel Oracle associe un score de sévérité de 7.5, est jugé bien plus critique par Forgerock qui, en interne, relève ce score à 10.0, selon un billet d’un de ses architectes en sécurité, Neil Madden. 

Il s’agit d’une vulnérabilité de signature cryptographique dans Java 15, 16, 17 et 18. Neil Madden la qualifie de « signatures phychiques », entraînant la personne piégée à voir ce que l’on veut lui faire voir comme certificats de sécurité lors de la mise en oeuvre de signatures ECDSA. Il conseille aux équipes ayant mis en production les versions Java 15 à 18 d’appliquer immédiatement les correctifs. Pour ceux qui utilisent une signature ECDSA, « un attaquant peut facilement falsifier certains types de certificats SSL et handshakes (ce qui permet d’intercepter et de modifier les communications les JWT signés, les assertions SAML ou les tokens OIDC et même les messages d’authentification WebAuthn. Le tout en utilisant l’équivalent numérique d’une feuille de papier blanc », explique-t-il dans un billet détaillé. « Pour situer le contexte, presque tous les dispositifs WebAuthn/FIDO dans le monde réel (y compris les Yubikeys) utilisent des signatures ECDSA et de nombreux fournisseurs OIDC utilisent des JWT signés ECDSA », précise-t-il.

Parmi les autres correctifs importants, la plateforme Blockchain d’Oracle en reçoit 15 dont 14 pour des failles pouvant être exploitées à distance sans authentification, relève la firme de sécurité Malwarebytes. Cette dernière souligne aussi que Golden Gate (logiciel de transformation de données en temps réel) en reçoit 5 dont 4 pour des vulnérabilités pouvant être exploitées à distance sans authentification. Les applications Oracle Financial Services applications sont de leur côté concernées par 41 correctifs, dont 19 pour des failles également exploitables à distance sans authentification.

Le prochain CPU livré le 3e mardi de juillet

En dehors des familles de produits déjà cités, les autres gammes recevant des correctifs ce trimestre sont la base de données d’Oracle, Database Server, Autonomous Health Framework,  REST Data Services, Oracle Commerce, Communications Applications, Construction and Engineering, l’ERP E-Business Suite, la console d’administration Enterprise Manager, Health Sciences Applications, HealthCare Applications, Hospitality Applications, Hyperion, iLearning, Insurance Applications, l’ERP JD Edwards, la base de données MySQL, l’ERP PeopleSoft, Retail Applications, Supply Chain, Support Tools, Oracle Systems, Taleo, Utilities Applications et Oracle Virtualization.

Dans un billet, Eric Maurice, vice-président Assurance Sécurité d’Oracle annonce aussi une modification de date sur la livraison du Critical Patch Update. Celui-ci ne sera plus fourni autour du 17 des mois de janvier, avril, juillet et octobres mais le 3ème mardi de chacun de ces mois. Il explique que cet ajustement mineur est fait pour faciliter la mise en place de rappels de calendriers pour anticiper la livraison de ces mises à jour de sécurité.

En janvier, le précédent Critical Patch Update - dont la dernière modification remonte à mars - avait apporté un peu moins de 500 correctifs.