Aucun résultat trouvé

Votre recherche n’a donné aucun résultat.

Nous vous suggérons d’essayer ce qui suit pour trouver ce que vous recherchez :

  • Vérifiez l’orthographe de votre recherche par mot clé.
  • Utilisez des synonymes pour le mot clé que vous avez tapé, par exemple, essayez “application” au lieu de “logiciel”.
  • Essayez l’une des recherches populaires ci-dessous.
  • Lancer une nouvelle recherche.
Questions tendances

Programme de mise à jour de correctifs critiques

Le mécanisme principal de backport des correctifs de vulnérabilités des produits Oracle est le programme CPU (Critical Patch Update, correctif critique) trimestriel. Les CPU sont publiés à des dates annoncées un an à l’avance et communiquées sur la page des CPU et des alertes de sécurité. Les correctifs résolvent les vulnérabilités importantes et incluent également des corrections du code qui sont des prérequis pour les correctifs de sécurité.

Pour les clients Oracle Support actifs, les mises à jour de sécurité de tous les produits qui reçoivent des CPU sont disponibles sur le site Web My Oracle Support. Cliquez sur les liens ci-dessous pour en savoir plus sur les politiques Oracle des correctifs de sécurité.

Programme d’alertes de sécurité

Les alertes de sécurité sont un mécanisme de publication d’un correctif de vulnérabilité ou d’un petit nombre de correctifs de vulnérabilité. Les alertes de sécurité ont été utilisées jusqu’en août 2004 comme le moyen principal de publication des correctifs de sécurité. En janvier 2005, Oracle a commencé à publier des correctifs selon un calendrier fixe, sous la forme de CPU (Critical Patch Update).

Oracle peut émettre une alerte de sécurité en cas de menace unique ou dangereuse pour ses clients. Dans ce cas, les clients sont avisés de l’alerte de sécurité par email envoyé via My Oracle Support et Oracle Technology Network. Le correctif inclus dans l’alerte de sécurité sera également inclus dans le CPU suivant.

Correctifs cumulatifs/correctifs ponctuels

Dans la mesure du possible, Oracle s’efforce de publier des CPU de type cumulatif, c’est-à-dire que chaque CPU contient les correctifs de sécurité de tous les CPU précédents. Concrètement, pour les produits qui reçoivent des correctifs cumulatifs, le dernier CPU est le seul qui doit être appliqué, car il contient tous les correctifs nécessaires.

Pour les produits qui ne reçoivent pas de correctifs cumulatifs, les correctifs sont publiés sous forme de correctifs ponctuels. Dans ce cas, il est nécessaire de consulter les avis des CPU précédents pour identifier tous les correctifs qui doivent être appliqués.

Annonce des correctifs de sécurité

Dans la mesure du possible, Oracle s’engage à annoncer les correctifs de sécurité seulement si des correctifs sont disponibles pour toutes les combinaisons de versions de produit et de plateformes affectées et prises en charge. Cependant, il existe deux exceptions à cette règle :

1. Programme On-Request (À la demande) : Oracle ne produit pas systématiquement de correctifs pour certaines combinaisons de versions de produit et de plateformes qui font l’objet de peu de téléchargements de correctifs par les clients. La production de ces correctifs doit faire l’objet d’une demande des clients. Le programme À la demande et la procédure de demande d’inclusion de ces correctifs dans des CPU récents ou à venir sont détaillés dans le document de disponibilité du correctif associé à chaque publication de CPU.

2. Des retards mineurs dans la disponibilité des correctifs allant jusqu’à deux semaines suivant la date de l’annonce s’expliquent généralement par des problèmes techniques survenus pendant la production ou les tests du correctif.

Notez que dans certaines conditions, les CPU destinés à certaines combinaisons de version et de plateforme peuvent se composer de correctifs de vulnérabilité annoncés et non annoncés. Un correctif de vulnérabilité non annoncé peut être inclus dans un CPU donné si certaines parties, mais pas l’intégralité, de la vulnérabilité sont résolues, ou parce que le correctif est disponible sur seulement certaines combinaisons de version et de plateforme d’un produit donné.

Correctifs de sécurité et ensembles de correctifs

Les correctifs de sécurité sont également inclus dans les ensembles de correctifs (ou équivalents) et dans les nouvelles versions de produit. La politique d’Oracle consiste à inclure tous les correctifs de sécurité dans un CPU, dans les ensembles de correctifs suivants et dans les nouvelles versions de produit. Si ce n’est pas possible en raison du calendrier de publication d’une version, Oracle crée un correctif contenant les derniers CPU pouvant être appliqués en plus de l’ensemble de correctifs ou de la version de produit venant d’être publiés.

Ordre de résolution des vulnérabilités

Afin de fournir le meilleur état de sécurité à tous ses clients, Oracle résout les vulnérabilités importantes en fonction des risques possibles posés aux clients. Ainsi, les problèmes présentant les risques les plus graves sont résolus en premier. Les correctifs de vulnérabilité sont produits dans l’ordre suivant :

  • Ligne de code principale en premier : il s’agit de la ligne de code développée pour la prochaine version majeure du produit
  • Pour chaque version prise en charge qui est vulnérable :
    • Corrigez le prochain ensemble de correctifs si un autre ensemble de correctifs est planifié pour cette version prise en charge.
    • Création de CPU

Notez qu’Oracle recommande fortement aux clients d’utiliser uniquement des versions de produits prises en charge et d’appliquer sans délais les correctifs contenant les CPU sur les versions utilisées. En effet, Oracle ne propose pas de correctifs pour les versions de produits qui ne sont plus prises en charge. De plus, il est très probable que ces versions soient sensibles aux vulnérabilités corrigées par les CPU. Les acteurs malveillants inversent souvent les correctifs des ingénieurs, les utilisent et essaient d’exploiter de façon malveillante ces problèmes peu après la sortie de chaque version CPU.

Remarque importante : souvenez-vous qu’Oracle recommande aux clients de garder les CPU comme moyen principal pour rester à jour dans les correctifs de sécurité pour tous les produits affectés, à mesure de la publication des CPU qui suit un rythme plus fréquent que les ensembles de correctifs ou que les nouvelles versions de produit.

Documentation des CPU

Chaque CPU fait l’objet d’un avis qui fait office de document de synthèse. Cet avis répertorie les produits affectés et contient une matrice des risques pour chaque suite de produits.

Matrices des risques

Les matrices des risques fournissent des informations pour aider les clients à évaluer les risques que posent les vulnérabilités dans leur environnement. Elles peuvent servir à identifier les systèmes les plus à risque pour y appliquer les correctifs en premier. Chaque nouvelle vulnérabilité résolue dans un CPU (Critical Patch Update) est répertoriée dans une ligne de la matrice des risques correspondant au produit affecté.

CVSS (Common Vulnerability Scoring System)

Oracle utilise le système CVSS (Common Vulnerability Scoring System) pour signaler la gravité relative des vulnérabilités de sécurité. Les informations CVSS sont fournies dans les matrices de risques publiées dans les CPU (Critical Patch Update) et les alertes de sécurité en tant qu’indicateurs clés individuels qui couvrent les aspects techniques des vulnérabilités, tels que les conditions préalables requises pour une exploitation réussie. CVSS utilise une formule pour transformer les indicateurs clés en un score de base compris entre 0,0 et 10,0, où 10,0 représente la plus grande gravité. Oracle classe les matrices de risque à l’aide de ce score de base, avec la vulnérabilité la plus grave en haut de chaque matrice de risque. Oracle fournit des informations supplémentaires pour chaque vulnérabilité afin d’aider les clients à prendre des décisions plus éclairées sur les correctifs.

Oracle a adopté le référentiel CVSS en 2006, puis des versions plus récentes au fur et à mesure de leur publication. La version 3.1 de CVSS, utilisée dans les avis et alertes actuels, a été adoptée en juillet 2020. Utilisation du système CVSS (Common Vulnerability Scoring System) par Oracle fournit une explication détaillée sur la façon dont les notations CVSS sont appliquées dans les avis de risque d’Oracle.

CVE (Common Vulnerabilities and Exposures)

Les références CVE (Common Vulnerabilities and Exposures) permettent à Oracle d’identifier les vulnérabilités répertoriées dans les matrices des risques des avis des CPU et des alertes de sécurité. Les références CVE sont des identifiants communs uniques qui renvoient à des informations publiques relatives aux vulnérabilités. Le programme CVE est coparrainé par le bureau de la cybersécurité et des communications du département américain de la Sécurité intérieure, et est géré par l’organisme MITRE. Oracle est une CNA (CVE Numbering Authority, autorité de numérotation CVE), c’est-à-dire que l’entreprise peut créer des références CVE pour les vulnérabilités de ses produits. Notez que l’ordre des références CVE dans les avis de sécurité d’Oracle ne suit pas obligatoirement les dates de découverte des vulnérabilités auxquelles elles font référence. Autrement dit, les références CVE ne sont pas assignées dans l’ordre de découverte des vulnérabilités pour lesquelles des correctifs seront publiés. En effet, les CNA telles qu’Oracle se voient allouer de temps à autre des ensembles de références par MITRE pour ne pas avoir à demander de nouveau CVE dès qu’une vulnérabilité est découverte. Oracle assigne des références CVE aux vulnérabilités de façon séquentielle en tirant une référence du pool de références CVE assigné par l’organisme CVE environ trois à quatre semaines avant la distribution planifiée du correctif via le programme CPU.

Synthèse

Afin d’aider les entreprises à évaluer rapidement l’importance de potentiels problèmes de sécurité traités dans le CPU, Oracle fournit une synthèse contenant des informations globales sur les problèmes de sécurité de chaque produit concerné par le CPU. Cette synthèse fournit une explication simplifiée des vulnérabilités traitées dans le CPU.

Annonce de pré-publication du CPU

Oracle publie un récapitulatif de la documentation du CPU le jeudi précédant chaque publication de CPU. Ce récapitulatif, appelé Critical Patch Update Pre-Release Announcement (Annonce de pré-publication du CPU), fournit des informations étendues sur le CPU à venir, notamment :

  • Nom et numéros de version des produits Oracle affectés par les nouvelles vulnérabilités résolues dans le CPU
  • Nombre de correctifs de sécurité pour chaque suite de produits
  • Score de base CVSS le plus élevé pour chaque suite de produits
  • Et, éventuellement, toute autre information pertinente pouvant aider les entreprises à planifier l’application du CPU dans leur environnement.

Même si Oracle s’assure que chaque annonce de pré-publication soit aussi exacte que possible au moment de sa publication, le contenu réel de chaque CPU peut changer après la publication de cette annonce. L’avis de CPU doit donc être considéré comme la seule description exacte du contenu réel de la mise à jour.