Le programme de Critical Patch Update d'Oracle est entré dans sa onzième année d'existence et consiste à quatre publications de sécurité critiques par an selon un calendrier établi à l'avance. La première mise à jour trimestrielle de 2016 s'avère plutôt copieuse pour Oracle. Il s'agit même d'un record avec 248 patchs pour plus d'une cinquantaine de produits.

patch parkinson Le précédent record en la matière était pour la mise à jour critique de juillet 2015 avec un total de 193 patchs. Sur les 248 patchs livrés depuis mardi, cinq ont un score CVSS (Common Vulnerability Scoring System) de 10.0, qui est la dangerosité maximale, dont trois dans Java SE et deux dans Oracle Golden Gate.

Cette mise à jour propose des correctifs pour un large éventail de familles de produits et en particulier Oracle Database (aucune vulnérabilité exploitable à distance sans authentification), Oracle E-Business Suite et donc Java SE.

Oracle " recommande fortement " aux particuliers utilisant Java de consulter le site java.com afin de s'assurer qu'ils disposent de la plus récente version de Java et prendre connaissance d'instructions pour supprimer les versions obsolètes de leur ordinateur. Un dernier point sur lequel Oracle a été sévèrement rappelé à l'ordre par la FTC (pour des faits jusqu'en août 2014).

Pour tout le monde, et les administrateurs en particulier, Oracle demande d'appliquer les correctifs proposés sans tarder : " Nous recevons périodiquement des rapports de tentatives d'exploitation malveillante pour des vulnérabilités qui ont déjà été corrigées. "

On remarquera la publication d'une longue liste de chercheurs en sécurité ne travaillant pas chez Oracle qui ont contribué à l'identification de failles. Cela explique peut-être pourquoi il y a un record de patchs. Le prochain rendez-vous est fixé au 19 avril 2016.

Source : Oracle