Oracle a livré hier sa mise à jour de sécurité trimestrielle comportant 297 correctifs à appliquer sur une large gamme de produits, tant logiciels d’infrastructure (base de données, BPM, API…) qu’applications (ERP et solutions métiers). L’éditeur californien accompagne son Critical Patch Update d'un bulletin détaillé sur les failles ainsi comblées, principalement sur Oracle Database Server, Oracle Fusion Middleware, Oracle Enterprise Manager, Oracle E-Business Suite, Oracle PeopleSoft, Oracle Siebel CRM, Oracle Industry Applications (Construction and Engineering, Communications, Financial Services, Hospitality, Food & Beverage, Retail, Utilities), Oracle Java SE, Oracle Virtualization et Oracle MySQL. La suite de produits Sun Systems est également concernée.
Pour évaluer la gravité des failles, dont plusieurs dizaines d’entre elles sont classées au plus haut niveau de sévérité (score égal ou supérieur à 9), Oracle utilise la version 3.0 du système d’évaluation CVSS, Common vulnerability scoring system. La première des vulnérabilités critiques listée dans le bulletin, CVE-2019-2517, porte sur le composant Core RDBMS de Database Server, version 12.2.0.1 et 18c. Facilement exploitable, elle permet à un attaquant à haut privilège sur DBFS_ROLE ayant un accès réseau via Oracle Net de compromettre Core RDBMS. L’attaque ainsi menée peut conduire à la prise en main du composant et elle pourrait en outre toucher d’autres produits. Cinq autres correctifs concernent la base de données, dont deux pour le composant Portable Clusterware, CVE-2019-2516 et CVE-2019-2619, ayant un score de 8.2 (très sévère), pour des attaques locales. Les autres failles sur la database sont classées entre 7.5 et 5.3, la moins sévère pouvant malgré tout être exploitée à distance sans authentification.
27 failles sévères à corriger sur la E-Business Suite
Parmi les failles très critiques (répertoriées à 9.8), 9 touchent la gamme Oracle Communications Applications. Cette dernière compte à elle seule 26 patches de sécurité dont 19 peuvent être exploitées à distance sans requérir d’authentification. 27 d’entre elles ont un score situé entre 8.1 et 8.2. Les logiciels Fusion Middleware réunissent pour leur part pas moins de 53 correctifs dont 14 portent sur des failles critiques (9.8), exploitables via le réseau. Les outils d’administration Enterprise Manager sont de leur côté concernés par 11 failles dont 2 critiques à 9.8 et 2 sévères à 8.8. La ligne Financial Services Applications dénombre 14 correctifs dont 3 pour des failles situées entre 8.8 et 9.8.
Dans la famille des ERP, Oracle corrige 35 failles sur sa E-Business Suite dont 33 peuvent, là aussi, être exploités sans avoir à fournir de mot de passe, et 27 ont un score supérieur à 8. L'ERP JD Edwards compte 8 correctifs dont un pour une faille critique, tandis que PeopleSoft en a 12 dont 2 sévères. Dans la catégorie des applications métiers, la suite Construction & engineering qui inclut les logiciels Primavera de gestion de projets, comporte 8 correctifs dont 4 critiques (avec un score de 9.8). Plusieurs autres suites métiers comportent des failles critiques ou sévères : Health Sciences Applications, Hospitality Applications, Retail Applications (24 correctifs dont 9 critiques ou sévères), Siebel CRM, Utilities Applications. La suite Supply Chain Produits Suite en compte 2.
Faille critique dans Windows DLL sur Java SE
On trouve aussi des failles critiques dans les logiciels de virtualisation ainsi qu’une dans le sous-composant Windows DLL de Java SE (CVE-2019-2699, score 9.0) version 8u202, mais cette vulnérabilité serait difficile à exploiter, selon Oracle. Les outils de support reçoivent également un patch pour une faille notée 6.1. Enfin, Oracle fournit par ailleurs 45 correctifs pour la base de données MySQL, mais aucun ne vient combler une faille jugée critique ou sévère, le score le plus haut étant de 7.5.
Les dates de livraison prévues pour les prochaines mises à jour de sécurité d’Oracle pour l’année en cours sont fixées au 16 juillet et au 15 octobre.