Source : http://www.generation-nt.com/oracle-vul ... 27949.html"Oracle livre 136 patchs de sécurité
Dans le cadre de ses mises à jour de sécurité trimestrielles, Oracle propose 136 rustines pour combler des vulnérabilités de sécurité affectant 49 produits.
Chaque année, Oracle procède à quatre publications de sécurité critiques en respectant un calendrier établi à l'avance. Ce programme Critical Patch Update a donné lieu en janvier dernier à un record avec 248 patchs pour plus d'une cinquantaine de produits.
La deuxième publication de 2016 ne remet pas en cause ce record avec " seulement " 136 patchs de sécurité pour 49 produits parmi lesquels Oracle Database Server, Oracle Sun Systems Products Suite, MySQL ou encore Java SE.
Sur les 136 patchs, sept sont en rapport avec un score CVSS 2.0 (Common Vulnerability Scoring System) de 10.0, soit la dangerosité maximale. En l'occurrence, quatre pour Java SE, deux pour MySQL et un pour Oracle Sun Systems Products. Oracle a toutefois opéré une transition pour passer de la norme CVSS 2.0 à 3.0.
Avec la version 3.0 de ce système d'évaluation du niveau de dangerosité des vulnérabilités, il n'y a aucun score 10.0. Cela ne veut pas dire pour autant qu'il y a moins de vulnérabilités critiques avec CVSS 3.0. C'est même le contraire avec 9 failles critiques au sens CVSS 2.0 et 17 selon CVSS 3.0 (score de 9.0 à 10.0). D'une manière globale, CVSS 3.0 - qui est censé être plus précis - augmente le score de dangerosité des vulnérabilités par rapport à CVSS 2.0.
Comme d'habitude, Oracle recommande fortement d'appliquer les correctifs de sécurité sans tarder, et souligne recevoir régulièrement des rapports de tentatives d'exploitation de vulnérabilités pour lesquelles il existe pourtant un correctif.
Rappelons par ailleurs que le plugin Java pour les navigateurs Web sera supprimé à la suite de la sortie de Java 9 prévue d'ici la fin du mois de septembre prochain. La prochaine fournée trimestrielle d'Oracle est programmée pour le 19 juillet."
Ceux qui se demandent encore si Java est une application sécurisée ont la réponse ci-dessus.
Oracle applique avec obstination des emplâtres sur une jambe de bois.
@+