La pré-annonce d'Oracle sur la mise à jour critique trimestrielle qu'il s'apprête à livrer demain fait état de 86 correctifs pour des failles de sécurité concernant une vingtaine de ses logiciels. Une partie du patch couvre des vulnérabilités critiques qui peuvent être exploitées à distance sans authentification (sans qu'il soit nécessaire de fournir un nom d'utilisateur et un mot de passe). C'est le cas, notamment, de cinq failles qui affectent le produit Oracle Database Mobile/Lite Server auquel est associé le score CVSS (Common Vulnerability Scoring System), 10.0, le plus élevé en termes de dangerosité. Deux autres correctifs, portant sur des failles classées 9.0, sont destinés à la base de données d'Oracle et à MySQL.

Une liste de correctifs susceptible d'évoluer

Sur les 86 correctifs, 18 concernent la base de données Open Source MySQL. Deux d'entre eux corrigent des failles qui peuvent être exploitées à distance sans authentification. C'est aussi le cas de treize vulnérabilités touchant des composantes de la solution d'administration Enterprise Manager Grid Control (APM et Enterprise Manager Base Platform), de cinq failles trouvées dans Fusion Middleware et de 19 vulnérabilités affectant l'ERP E-Business Suite, les logiciels PeopleSoft et Siebel CRM.

La mise à jour du 15 janvier s'applique aussi au système d'exploitation Solaris et à Sun Storage Common Array Manager. Le détail donné par Oracle dans son bulletin est susceptible de modifications précise-t-il. La dernière mise à jour de sécurité de l'éditeur remonte à octobre dernier. Elle corrigeait alors 109 problèmes.

Les prochaines livraisons de mises à jour critiques sont fixées par Oracle au 16 avril, au 16 juillet et au 16 octobre 2013. Trois autres dates sont prévues pour les mises à jour de Java SE : les 19 février, 18 juin et 15 octobre.