Synthèse
Oracle a publié la mise à jour critique du correctif de juillet décrivant 386 vulnérabilités dans plusieurs produits, dont 14 avec une gravité « critique ». Parmi ceux-ci, certains pourraient être exploités pour effectuer des opérations non autorisées ou compromettre la disponibilité du service sur les systèmes cibles.
Remarque (mise à jour le 30/07/2024) : les Proof of Concept (PoC) pour l’exploitation de CVE-2022-21797 et CVE-2022-0239 sont disponibles en ligne.
Risque
Impact estimé de la limitation sur la communauté de référence : MOYEN/JAUNE (62,3/100) 1.
Typologie
- Déni de service
- Contourner les restrictions de sécurité
- Révélation d’informations
- Manipulation des données
Produits et versions concernés
Oracle
- Analyses
- Demande expresse
- Big Data spatial et graphique
- Commerce
- Communications
- Applications de communication
- Construction et ingénierie
- Serveur de base de données
- Suite E-Business
- Chef d’entreprise
- Base d’Ess
- Applications de services financiers
- Intergiciel de fusion
- Porte dorée
- Serveur graphique et client
- Applications de santé
- Hypérion
- Demandes d’assurance
- Dr J.D. Édouard
- JavaSE
- Mon SQL
- Base de données NoSQL
- PeopleSoft
- Services de données REST
- Applications de vente au détail
- CRM Siebel
- Chaîne d’approvisionnement
- Systèmes
- Base de données en mémoire TimesTen
- Applications utilitaires
- Virtualisation
Mesures d’atténuation
Conformément aux déclarations du vendeur, il est recommandé de mettre à jour les produits vers la dernière version disponible.
Pour plus d’informations sur les produits concernés et les modalités d’intervention, nous vous recommandons de vous référer au bulletin de sécurité disponible dans la section Références.
Indicateurs uniques de faiblesse
Vous trouverez ci-dessous les seuls CVE relatifs aux faiblesses de gravité « critique » :
Références
https://www.oracle.com/security-alerts/cpujul2024.html
1 Cette estimation est réalisée en tenant compte de divers paramètres, notamment : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.
