Programme de mise à jour de correctifs critiques

Le mécanisme principal de backport des correctifs de vulnérabilités des produits Oracle est le programme CPU (Critical Patch Update, correctif critique) trimestriel. Les CPU sont publiés à des dates annoncées un an à l’avance et communiquées à la page des CPU et des alertes de sécurité. Les correctifs résolvent les vulnérabilités importantes et incluent également des corrections du code qui sont des prérequis pour les correctifs de sécurité.

Pour les clients Oracle Support actifs, les mises à jour de sécurité de tous les produits qui reçoivent des CPU sont disponibles sur le site Web My Oracle Support. Cliquez sur les liens ci-dessous pour en savoir plus sur les politiques Oracle des correctifs de sécurité.

Programme d’alertes de sécurité

Les alertes de sécurité sont un mécanisme de publication d’un correctif de vulnérabilité ou d’un petit nombre de correctifs de vulnérabilité. Les alertes de sécurité ont été utilisées jusqu’en août 2004 comme le moyen principal de publication des correctifs de sécurité. En janvier 2005, Oracle a commencé à publier des correctifs selon un calendrier fixe, sous la forme de CPU (Critical Patch Update).

Oracle peut émettre une alerte de sécurité en cas de menace unique ou dangereuse pour ses clients. Dans ce cas, les clients sont avisés de l’alerte de sécurité par email envoyé via My Oracle Support et Oracle Technology Network. Le correctif inclus dans l’alerte de sécurité sera également inclus dans le prochain CPU.


Correctifs cumulatifs/correctifs ponctuels

Dans la mesure du possible, Oracle s’efforce de publier des CPU de type cumulatif, c’est-à-dire que chaque CPU contient les correctifs de sécurité de tous les CPU précédents. Concrètement, pour les produits qui reçoivent des correctifs cumulatifs, le dernier CPU est le seul qui doit être appliqué, car il contient tous les correctifs nécessaires.

Pour les produits qui ne reçoivent pas de correctifs cumulatifs, les correctifs sont publiés sous forme de correctifs ponctuels. Dans ce cas, il est nécessaire de consulter les avis des CPU précédents pour identifier tous les correctifs qui doivent être appliqués.


Annonce des correctifs de sécurité

Dans la mesure du possible, Oracle s’engage à annoncer les correctifs de sécurité seulement si des correctifs sont disponibles pour toutes les combinaisons de versions de produit et de plateformes affectées et prises en charge. Cependant, il existe deux exceptions à cette règle :

  1. 1. Programme On-Request (À la demande) : Oracle ne produit pas systématiquement de correctifs pour certaines combinaisons de versions de produit et de plateformes qui font l’objet de peu de téléchargements de correctifs par les clients. La production de ces correctifs doit faire l’objet d’une demande des clients. Le programme À la demande et la procédure de demande d’inclusion de ces correctifs dans des CPU récents ou à venir sont détaillés dans le document de disponibilité du correctif associé à chaque publication de CPU.
  2. 2. Des retards mineurs dans la disponibilité des correctifs allant jusqu’à deux semaines suivant la date de l’annonce s’expliquent généralement par des problèmes techniques survenus pendant la production ou les tests du correctif.

Notez que dans certaines conditions, les CPU destinés à certaines combinaisons de version et de plateforme peuvent se composer de correctifs de vulnérabilité annoncés et non annoncés. Un correctif de vulnérabilité non annoncé peut être inclus dans un CPU donné si certaines parties, mais pas l’intégralité, de la vulnérabilité sont résolues, ou parce que le correctif est disponible sur seulement certaines combinaisons de version et de plateforme d’un produit donné.


Correctifs de sécurité et ensembles de correctifs

Les correctifs de sécurité sont également inclus dans les ensembles de correctifs (ou équivalents) et dans les nouvelles versions de produit. La politique d’Oracle consiste à inclure tous les correctifs de sécurité dans un CPU, dans les ensembles de correctifs suivants et dans les nouvelles versions de produit. Si ce n’est pas possible en raison du calendrier de publication d’une version, Oracle crée un correctif contenant les derniers CPU pouvant être appliqués en plus de l’ensemble de correctifs ou de la version de produit venant d’être publiés.


Ordre de résolution des vulnérabilités

Afin de fournir le meilleur état de sécurité à tous ses clients, Oracle résout les vulnérabilités importantes en fonction des risques possibles posés aux clients. Ainsi, les problèmes présentant les risques les plus graves sont résolus en premier. Les correctifs de vulnérabilité sont produits dans l’ordre suivant :

  • Ligne de code principale en premier : il s’agit de la ligne de code développée pour la prochaine version majeure du produit
  • Pour chaque version prise en charge qui est vulnérable :
    • Ligne de code principale en premier : il s’agit de la ligne de code développée pour la prochaine version majeure du produit
    • Des coûts d’administration réduits — Le calendrier fixe des publications de CPU évite les surprises et facilite la gestion des correctifs. Le calendrier est également conçu pour éviter les dates d’interruption de service pendant lesquels les clients ne peuvent généralement pas modifier leurs environnements de production.
    • Une gestion des correctifs simplifiée — Les correctifs sont cumulatifs pour de nombreux produits Oracle. Cela permet aux clients de passer en une seule fois à la version de sécurité la plus récente, car l’application du dernier CPU cumulatif résout toutes les vulnérabilités traitées dans les correctifs précédents.
    • Identification des vulnérabilités architecturales — Les évaluations de sécurité peuvent mener à l’identification de vulnérabilités architecturales.

Notez qu’Oracle recommande fortement aux clients d’utiliser uniquement des versions de produits prises en charge et d’appliquer sans délais les correctifs contenant les CPU sur les versions utilisées. En effet, Oracle ne propose pas de correctifs pour les versions de produits qui ne sont plus prises en charge. De plus, il est très probable que ces versions soient sensibles aux vulnérabilités corrigées par les CPU. Les acteurs malveillants inversent souvent les correctifs des ingénieurs, les utilisent et essaient d’exploiter de façon malveillante ces problèmes peu après la sortie de chaque version CPU.

Remarque importante : souvenez-vous qu’Oracle recommande aux clients de garder les CPU comme moyen principal pour rester à jour dans les correctifs de sécurité pour tous les produits affectés, à mesure de la publication des CPU qui suit un rythme plus fréquent que les ensembles de correctifs ou que les nouvelles versions de produit.


Documentation des CPU

Chaque CPU fait l’objet d’un avis qui fait office de document de synthèse. Cet avis répertorie les produits affectés et contient une matrice des risques pour chaque suite de produits.


Matrices des risques

Les matrices des risques fournissent des informations pour aider les clients à évaluer les risques que posent les vulnérabilités dans leur environnement. Elles peuvent servir à identifier les systèmes les plus à risque pour y appliquer les correctifs en premier. Chaque nouvelle vulnérabilité résolue dans un CPU est répertoriée dans une ligne de la matrice des risques correspondant au produit affecté.


CVSS (Common Vulnerability Scoring System)

En octobre 2006, Oracle est passé d’une méthode propriétaire pour indiquer la criticité relative des vulnérabilités dans les matrices des risques, au système CVSS (Common Vulnerability Scoring System). Le site Web de FIRST décrit le CVSS comme un système d’évaluation « conçu pour fournir des évaluations de criticité ouvertes et universelles des vulnérabilités ». Le système CVSS est une méthode standardisée d’évaluation de la criticité des vulnérabilités. Pour chaque nouvelle vulnérabilité résolue dans le CPU, Oracle fournit des mesures CVSS indiquant les conditions prérequises pour exploiter la vulnérabilité, le degré de facilité de l’exploitation et l’impact d’une attaque réussie en termes de confidentialité, d’intégrité et de disponibilité (mesures CIA, Confidentiality, Integrity and Availability) sur le système ciblé. Le système CVSS utilise une formule pour transformer ces informations en un score de base compris entre 0.0 et 10.0, où 10.0 représente la vulnérabilité la plus critique. Les matrices des risques sont organisées d’après le score de base du CVSS, la vulnérabilité la plus critique apparaissant en première ligne. La version 3.0 de la norme CVSS a été adoptée par Oracle en avril 2016 et continue d’être utilisée aujourd’hui. La page Utilisation du système CVSS (Common Vulnerability Scoring System) par Oracle fournit une explication détaillée du mode d’application des évaluations CVSS aux avis de risque émis par Oracle.


CVE (Common Vulnerabilities and Exposures)

Les références CVE (Common Vulnerabilities and Exposures) permettent à Oracle d’identifier les vulnérabilités répertoriées dans les matrices des risques des avis des CPU et des alertes de sécurité. Les références CVE sont des identifiants communs uniques qui renvoient à des informations publiques relatives aux vulnérabilités. Le programme CVE est coparrainé par le bureau de la cybersécurité et des communications du département américain de la Sécurité intérieure, et est géré par l’organisme MITRE. Oracle est une CNA (CVE Numbering Authority, autorité de numérotation CVE), c’est-à-dire que l’entreprise peut créer des références CVE pour les vulnérabilités de ses produits. Notez que l’ordre des références CVE dans les avis de sécurité d’Oracle ne suit pas obligatoirement les dates de découverte des vulnérabilités auxquelles elles font référence. Autrement dit, les références CVE ne sont pas assignées dans l’ordre de découverte des vulnérabilités pour lesquelles des correctifs seront publiés. En effet, les CNA telles qu’Oracle se voient allouer de temps à autre des ensembles de références par MITRE pour ne pas avoir à demander de nouveau CVE dès qu’une vulnérabilité est découverte. Oracle assigne des références CVE aux vulnérabilités de façon séquentielle en tirant une référence du pool de références CVE assigné par l’organisme CVE environ trois à quatre semaines avant la distribution planifiée du correctif via le programme CPU.


Synthèse

Afin d’aider les entreprises à évaluer rapidement l’importance de potentiels problèmes de sécurité traités dans le CPU, Oracle fournit une synthèse contenant des informations globales sur les défauts de sécurité de chaque produit concerné par le CPU. Cette synthèse fournit une explication simplifiée des vulnérabilités traitées dans le CPU.


Annonce de pré-publication du CPU

Oracle publie un récapitulatif de la documentation du CPU le jeudi précédant chaque publication de CPU. Ce récapitulatif, appelé Critical Patch Update Pre-Release Announcement (Annonce de pré-publication du CPU), fournit des informations étendues sur le CPU à venir, notamment :

  • Nom et numéros de version des produits Oracle affectés par les nouvelles vulnérabilités résolues dans le CPU
  • Nombre de correctifs de sécurité pour chaque suite de produits
  • Score de base CVSS le plus élevé pour chaque suite de produits
  • Et, éventuellement, toute autre information pertinente pouvant aider les entreprises à planifier l’application du CPU dans leur environnement.

Même si Oracle s’assure que chaque annonce de pré-publication soit aussi exacte que possible au moment de sa publication, le contenu réel de chaque CPU peut changer après la publication de cette annonce. L’avis de CPU doit donc être considéré comme la seule description exacte du contenu réel du CPU.