Avis de mise à jour critique d'Oracle - octobre 2013

Numéro : AV13-038
Date : Le 17 octobre 2013

Objet

L'objet du présent avis est d'attirer l'attention sur la mise à jour critique suivante qui vise certains produits Oracle.

Évaluation

Oracle a publié une mise à jour critique qui comporte 127 nouveaux correctifs de sécurité (dont 51 pour Java) touchant de nombreux produits Oracle.

Produits et versions touchés

Oracle Database 11g R1, version 11.1.0.7
Oracle Database 11g R2, versions 11.2.0.2 et 11.2.0.3
Oracle Database 12c R1, version 12.1.0.1
Oracle Fusion Middleware, 11g R1, versions 11.1.1.6 et 11.1.1.7
Oracle Access Manager, versions 11.1.1.5.0 et 11.1.2.0.0
Oracle Forms et Reports 11g R2, version 11.1.2.1
Oracle GlassFish Server, versions 2.1.1, 3.0.1 et 3.1.2
Oracle HTTP Server 12c, version 12.1.2
Oracle Identity Analytics, version 11.1.1.5
Sun Role Manager, versions 4.1 et 5.0
Oracle Identity Manager, versions 11.1.2.0.0 et 11.1.2.1.0
Oracle JDeveloper, versions 11.1.2.3.0, 11.1.2.4.0 et 12.1.2.0.0
Oracle Outside In Technology, versions 8.4.0 et 8.4.1
Oracle Portal, version 11.1.1.6.0
Oracle Web Cache, versions 11.1.1.6 et 11.1.1.7
Oracle WebCenter Content, versions 10.1.3.5.1, 11.1.1.6.0, 11.1.1.7.0 et 11.1.1.8.0
Oracle MySQL WebLogic, versions 10.3.6.0 et 12.1.1.0
Oracle Web Services, versions 10.1.3.5 et 11.1.1.6.0
Oracle Enterprise Manager Grid Control 10g R1, version 10.2.0.5
Oracle Enterprise Manager Grid Control 11g R1, version 11.1.0.1
Module d'extension Oracle Enterprise Manager pou Oracle Database 12c R1, versions 12.1.0.2, 12.1.0.3 et 12.1.0.4
Oracle E-Business Suite R12i, version 12.1
Oracle Agile PLM Framework, version 9.3.2
Oracle Transportation Management, versions 6.2, 6.3, 6.3.1 et 6.3.2
Module de SGRH d'Oracle PeopleSoft, version 9.1
Module de SGRH de rémunération en ligne d'Oracle PeopleSoft, versions 9.1 et 9.2
Oracle PeopleSoft PeopleTools, versions 8.51, 8.52 et 8.53
Oracle Siebel Core, versions 8.1.1 et 8.2.2
Client d'accès à distance d'Oracle Siebel Server, versions 8.1.1 et 8.2.2
Cadre d'IU d'Oracle Siebel, versions 8.1.1 et 8.2.2
Oracle iLearning, versions 5.2.1 et 6.0
Oracle Health Sciences InForm, versions 4.5.x, 4.6.x, 5.0.x, 5.5.x et 6.0.0
Oracle Siebel CTMS, version 8.1.1.x
Oracle Retail Invoice Matching, versions 10.2, 11.0, 12.0, 12.0IN, 12.1, 13.0, 13.1 et 13.2
Oracle FLEXCUBE Private Banking, versions 1.7, 2.0, 2.0.1, 2.2.0.1, 3.0 et 12.0.1
Oracle Instantis EnterpriseTrack, versions 8.0.6 et 8.5
Oracle Primavera P6 Enterprise Project Portfolio Management, versions 8.1 et 8.2 et 8.3
Oracle JavaFX, versions 2.2.40 et antérieures
Oracle Java JDK et JRE, versions 5.0u51 et antérieures, 6u60 et antérieures, 7u40 et antérieures
Oracle Java SE Embedded, versions 7u40 et antérieures
Oracle JRockit, versions R27.7.6 et antérieures, R28.2.8 et antérieures
Oracle Solaris versions 10, 11.1
Serveurs Oracle SPARC Enterprise séries T et M, versions de micrologiciel antérieures à 6.7.13, 7.4.6.c, 8.3.0.b, 9.0.0.d et 9.0.1.e
Module Oracle Sun Blade 6000 10GbE switched NEM 1.2
Commutateurs Sun Network 10GBE Switch 72P 1.2 et Oracle Switch ES1-24 1.3
Oracle Secure Global Desktop, version 5
Oracle VM VirtualBox, versions antérieures à 3.2.18, 4.0.20, 4.1.28 et 4.2.18
Oracle MySQL Server, versions 5.1, 5.5 et 5.6
Oracle MySQL Enterprise Monitor, version 2.3

Mesure suggérée

En raison de la menace qu'une attaque réussie représente, Oracle recommande fortement à tous les utilisateurs d'appliquer ces correctifs dans les plus brefs délais.

Le CCRIC recommande que les administrateurs des systèmes dressent la liste des biens touchés et déterminent leurs interdépendances possibles avec les services essentiels de l'organisme, et qu'ils suivent leur processus de gestion des correctifs en conséquence.

Références

http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :