Oracle a annoncé mardi la disponibilité d’un total de 342 nouveaux correctifs de sécurité dans le cadre de sa mise à jour des correctifs critiques (CPU) de juillet 2021. Plus de la moitié des vulnérabilités traitées pourraient être exploitées à distance sans authentification.

De toutes les vulnérabilités, environ 50 sont considérées comme étant de gravité critique, l’une d’entre elles présentant un score CVSS de 10, révèle Oracle dans son avis.

Le plus grave de ces problèmes est CVE-2021-2244, un bogue de sécurité dans le produit Essbase Analytic Provider Services d’Oracle Essbase (JAPI) qui pourrait être exploité à distance sans authentification et qui pourrait conduire à la prise de contrôle complète du produit concerné.

« Une vulnérabilité facilement exploitable permet à un attaquant non authentifié disposant d’un accès réseau via HTTP de compromettre Essbase Analytic Provider Services. Bien que la vulnérabilité se trouve dans Essbase Analytic Provider Services, les attaques peuvent avoir un impact significatif sur des produits supplémentaires », explique Oracle.

Fusion Middleware a reçu le plus grand nombre de correctifs dans cet ensemble de mises à jour trimestriel, pour remédier à un total de 48 vulnérabilités, dont 35 qui pourraient être exploitées par des attaquants distants et non authentifiés. Parmi ceux-ci, 9 sont des bogues de gravité critique, avec des scores CVSS de 9,8 et 9,9.

Parmi les autres logiciels Oracle recevant des correctifs pour un grand nombre de vulnérabilités dans le processeur de juillet 2021, citons MySQL (41 problèmes résolus – 10 d’entre eux exploitables à distance sans authentification) ; Applications de communication (33 bugs – 22 exploitables à distance) ; Communications (26 – 23); Applications de vente au détail (23 – 15) ; Applications de services financiers (22 – 17); Suite E-Business (17 – 3) ; et serveur de base de données (16 – 1).

Les autres applications Oracle ayant reçu des correctifs ce mois-ci incluent PeopleSoft, Systems Risk, Commerce, Construction and Engineering, Essbase, JD Edwards, Enterprise Manager, Java SE, Hyperion et Virtualization, entre autres.