Faille critique dans le serveur Web d'Oracle

Le patch a dû être publié en urgence en dehors du cycle habituel.

Oracle a publié un correctif d'urgence pour combler une vulnérabilité (CVE-2011-3192) exposant les solutions d'Oracle HTTP Server basées sur Apache 2.0 ou 2.2. Plusieurs solutions sont concernées dont plusieurs versions d'Oracle Fusion Middleware 11 g Release 1, Oracle Application Server 10 g, et Oracle Application Server 10 g Release 2.

La vulnérabilité peut être exploitée à distance sans authentification, c'est-à-dire qu'elle peut être exploitée sur un réseau sans avoir besoin d'un identifiant et un mot de passe. Un utilisateur distant peut exploiter cette vulnérabilité pour fortement impacter la disponibilité des systèmes non-patchés (via des attaques par déni de service).

La faille est assez grave pour qu'Oracle diffuse le correctif en dehors de ses habituelles grande mises à jour trimestrielles, la suivante étant prévue pour le 18 octobre.