Oracle annonce son premier cycle de patch trimestriel

Le patch couvre 23 vulnérabilités qui portent sur des dénis de service, escalades de privilèges et accès distant. Par ailleurs le binaire contiendrait l'ensemble des correctifs systèmes requis pour la mise à jour des dépendances. Selon le leader de la base de données le patch s'applique aux produits suivants :

Oracle Database 10g Release 1, versions 10.1.0.2, 10.1.0.3 et 10.1.0.3.1
Oracle9i Database Server Release 2, versions 9.2.0.4, 9.2.0.5 et 9.2.0.6
Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5 et 9.0.4 (9.0.1.5 FIPS)
Oracle8i Database Server Release 3, version 8.1.7.4
Oracle8 Database Release 8.0.6, version 8.0.6.3

Au sein de sa notification d'alerte, Oracle introduit une matrice de risques qui permet de rapidement identifier la sévérité des vulnérabilités adressées. Elle fournit notamment des informations relatives aux protocoles mis en jeux, ainsi qu'aux permissions nécessaires pour exploiter la vulnérabilité. Par ailleurs la matrice nous donne des indications quant à la complexité de l'exploitation et de son impact. Toutes ces données sont censées simplifier le travail de l'administrateur de la base de données.

Le correctif propose essentiellement un remède aux vulnérabilités découvertes par le britannique David Litchfield de Next Generation Security. Litchfield avait exposé au grand jour ses travaux de recherche à Las Vegas au cours de la conférence « Black Hat » en Août dernier. Il aura fallu 3 mois a Oracle pour reconnaître la légitimité des faits et plus de 6 mois pour les fixer.

Mots clés : patch, cumulatif, oracle