La vulnérabilité OpenSSL "heartbleed" et les produits Oracle

Pour DIGORA, la sécurité informatique est importante. En avril 2014, une vulnérabilité affectant certaines versions d’OpenSSL, librairie de cryptographie, a été annoncée publiquement. Ce billet a pour but de lister les produits Oracle dépendant d’Open SSL et de préciser leur état par rapport aux versions OpenSSL liées à cette vulnérabilité.

Dans la suite de ce billet, cette vulnérabilité, connue sous le nom Heartbleed, sera désignée par son numéro de CVE : CVE-2014-0160 (http://cve.mitre.org). Pour plus d’informations concernant cette vulnérabilité, voir le site http://heartbleed.com/ (site indépendant d’Oracle et de Digora).

La vulnérabilité OpenSSL en BD...

Une fois n'est pas coutume. Voici une BD qui explique en quelques images cette vulnérabilité sur certaines versions d'OpenSSL : Source www.commitstrip.com/fr/2014/04/09/heartbleed-for-dummies/

La vulnérabilité OpenSSL en une phrase

Source www.commitstrip.com/fr/2014/04/09/heartbleed-for-dummies/

Précisions sur cette vulnérabilité d'OpenSSL

Seules quelques versions des librairies OpenSSL sont connues pour inclure la vulnérabilité CVE-2014-0160. Ce qui veut dire que certains produits Oracle peuvent utiliser OpenSQL mais pas dans les versions connues pour souffrir de cette vulnérabilité.

• Les versions OpenSSL 1.0.1 à 1.0.1f  (inclus) sont concernées
• La version OpenSSL 1.0.1g n'est pas concernée
• La branche OpenSSL 1.0.0 n'est pas concernée
• La branche OpenSSL 0.9.8 n'est pas concernée
• La branche OpenSSL 0.9.7 n'est pas concernée

Le site http://heartbleed.com fournit ces informations et bien d'autres détails.

La position d'Oracle sur cette vulnérabilité

Oracle a publié un bulletin fournissant sa position sur cette question de sécurité importante :  http://www.oracle.com/technetwork/topics/security/opensslheartbleedcve-2014-0160-2188454.html Ce document présente :

1. Les produits Oracle qui n’ont jamais utilisés les versions OpenSSL connues pour être touchés par la vulnérabilité CVE-2014-0160
2. Les produits Oracle actuellement en phase d’investigations et qui pourraient être touchés par la vulnérabilité CVE-2014-0160
3. Les produits Oracle qui pourraient être touchés par la vulnérabilité VE-2014-0160 mais pour lesquels des correctifs sont disponibles
4. Les produits Oracle qui pourraient être touchés par la vulnérabilité VE-2014-0160 mais pour lesquels aucun correctif n’est disponible à ce jour
5. Les produits qui ne contiennent pas OpenSSL dans leur distribution par défaut
6. L’état d’Oracle Cloud, de My Oracle Support et d’IT Systems

Synthèse pour les principaux produits Oracle

Voici une synthèse sur les principaux produits Oracle par rapport à cette vulnérabilité :

• Oracle Database : n'utilise pas OpenSSL
• Oracle Database Appliance : la version OpenSSL utilisée n'a pas ce problème
• Oracle WebLogic Server 10.3.x et supérieur : n'utilise pas OpenSSL
• Oracle Forms : n'utilise pas OpenSSL
• Oracle Linux 5 : n'utilise pas OpenSSL
• Oracle Linux 6 : la vulnérabilité est présente et un patch est disponible

Précisions sur les produits Oracle par rapport à cette vulnérabilité d'OpenSSL

Voici les précisions contenues dans cette note, à la date du 22/4/2014 20h53, Pacific Time.

1. Produits Oracle qui tout en utilisant OpenSSL, ne sont pas concernés par la vulnérabilité CVE-2014-0160

Le service Global Product Security d’Oracle a déterminé que les produits suivants utilisent les librairies OpenSSL, dont les versions reconnues comme non vulnérables à CVE-2014-0160, ou dans le cas où le produit n’utilise pas les librairies OpenSSL pour implémenter le protocole vulnérable TLS. Il n’y a donc aucune action à mettre en œuvre pour ces produits.

• Acme Packet Net-Net Diameter Director
• Advanced Lights Out Manager [Product ID 9843/ALOM/ALOM]
• ALOM-CMT [Product ID 9846/SYSFW-ALL/ALOM-CMT]
• Audit Vault [Product ID 1977,9749]
• Brocade (McData) Fiber Channel Switches and Management Software [Product ID 9864]
• Cisco MDS Fiber Channel Switches and Management Software [Product ID 9865]
• Corente Services Gateway
• E-Business Suite 11i
• eGate Integrator 5.0.5 SRE
• Enterprise Manager Cloud Control
• Enterprise Manager Cloud Control Plug-ins and Connectors
• Enterprise Manager Grid Control [Product ID 1370]
• Enterprise Manager Grid Control Plug-ins and Connectors
• Enterprise Manager Ops Center
• Exadata [Product ID 2546]
• Exalogic
• Hyperion BI
• Hyperion Essbase [Product ID 4379]
• ILOM [Product ID 9849]
• Java CAPS 6.2, 6.3 [Product ID 8528]
• JD Edwards EnterpriseOne
• JD Edwards World
• MySQL Connector/C 6.0 [Product ID 8576/CONC]
• MySQL Connector/ODBC 5.1.4-5.1.12, 5.2.2-5.2.4 [Product ID 8576/CONODBC]
• MySQL Enterprise Backup 3.8, 3.9 [Product ID 4629]
• MySQL Enterprise Monitor 2.3.12 and earlier [Product ID 8480]
• MySQL Enterprise Server 5.1, 5.5, 5.6-5.6.10 [Product ID 8476]
• NM2-36P (NM2 36p Spine Switch) [Product ID 9886]
• NM2-GW (NM2 Gateway Switch) [Product ID 9885]
• Oracle Access Manager 10g and 11g Webgates [Product ID 5565]
• Oracle Access Manager 10g Server [Product ID 5565]
• Oracle Agile Engineering Data Management [Product ID 4436]
• Oracle API Gateway 11.1.1 and 11.1.2 [Product ID 9195]
• Oracle ATG Web Commerce Search [Product ID 9350]
• Oracle Business Intelligence Enterprise Edition [Product ID 2025]
• Oracle Commerce Advanced JDBC Column Handler [Product ID 9633]
• Oracle Commerce Content Acquisition System [Product ID 9633]
• Oracle Commerce Developer Studio [Product ID 9633]
• Oracle Commerce Document Conversion [Product ID 9633]
• Oracle Commerce Experience Manager Tools and Frameworks [Product ID 9633]
• Oracle Commerce Guided Search / Oracle Commerce Experience Manager [Product ID 9633/MDEX]
• Oracle Commerce Guided Search Platform Services [Product ID 9633]
• Oracle Commerce MDEX Engine [Product ID 9633]
• Oracle Commerce Tools and Frameworks [Product ID 9633]
• Oracle Communications Application Session Controller, all 3.6.0 versions, 3.7.0.m0, 3.7.0.m0p1, 3.7.0.m0p2
• Oracle Communications ASAP 7.2.0.1 and earlier [Product ID 2260]
• Oracle Communications Billing and Revenue Management 7.4.x, 7.5.x [Product ID 2136]
• Oracle Communications Border Gateway
• Oracle Communications Core Session Manager
• Oracle Communications Diameter Intelligence Hub 1.1, 1.2
• Oracle Communications Diameter Signal Router Full Address Resolution 4.x, 5.0
• Oracle Communications Diameter Signaling Router 4.x, 5.0
• Oracle Communications Eagle Application Processor Query Server 15.0, 15.0.2 [Product ID 11117]
• Oracle Communications Eagle LNP Provision System 10.0.0
• Oracle Communications Eagle MNP Provisioning System 15.x
• Oracle Communications Enterprise Communications Broker
• Oracle Communications Enterprise Session Border Controller
• Oracle Communications IP Service Activator [Product ID 2261]
• Oracle Communications Network Charging and Control 4.4.x, 5.0.0.x [Product ID 4623]
• Oracle Communications Objectel [Product ID 2264]
• Oracle Communications Order and Service Management [Product ID 2270]
• Oracle Communications Performance Intelligence Center 9.0.x
• Oracle Communications Policy Management
• Oracle Communications Security Gateway
• Oracle Communications Service Broker Engineered System Edition [Product ID 9056]
• Oracle Communications Session Border Controller
• Oracle Communications Session Delivery Management Suite
• Oracle Communications Session Router
• Oracle Communications Session Tunneled Session Controller
• Oracle Communications Session Tunneled Session Controller SDK
• Oracle Communications Subscriber Data Management 9.1, 9.2 , 9.3
• Oracle Communications Subscriber Profile Repository 9.x
• Oracle Communications Subscriber-Aware Load Balancer [Product ID 10766]
• Oracle Communications Unified Session Manager
• Oracle Database Appliance Software [Product ID 9435]
• Oracle Database Firewall [Product ID 8958,9749]
• Oracle DayBreak [Product ID 9696]
• Oracle Endeca Server (If using Tomcat on Windows, see Section 4) [Product ID 10217]
• Oracle FLEXCUBE Lending and Leasing 12.0, 12.1, 12.5 [Product ID 10484]
• Oracle GlassFish Server 3.x.x [Product ID 8493]
• Oracle Key Manager [Product ID 10052]
• Oracle Linux 5 [Product ID 1309]
• Oracle Real-time Scheduler [Product ID 2238]
• Oracle Secure Backup 10.3, 10.4 [Product ID 1522]
• Oracle Secure Global Desktop 4.x, 5.x [Product ID 8539]
• Oracle Social Network [Product ID 9432]
• Oracle Switch ES1-24 [Product ID 9889/OPUS24]
• Oracle System Assistant [Product ID 10015]
• Oracle Transportation Management 6.0, 6.1, 6.2 [Product ID 1991]
• Oracle Tuxedo [Product ID 5433]
• Oracle Virtual Desktop Infrastructure 3.3 to 3.5 [Product ID 8540]
• Oracle VM [Product ID 4455]
• Oracle VM VirtualBox 4.2, 4.3 [Product ID 8370]
• Oracle WebLogic Web Server Plug-In 1.0 [Product ID 5242/PLUGIN]
• Oracle ZFS Storage Software [Product ID 10026]
• PeopleSoft Application Products including Campus Solutions [Product ID 5085]
• Qlogic Fiber Channel Switches and Managment Software [Product ID 9866]
• Real User Experience Insight [Product ID 9572/COLL]
• SAM-QFS [Product ID 10021]
• Scapp [Product ID 9851]
• SMS [Product ID 9852]
• Solaris 11.1 and before [Product ID 10006]
• SPARC - OPL Service Processor (XCP) [Product ID 9845]
• Sun Blade 6000 Ethernet Switched NEM 24P 10GE [Product ID 9889/OPUS-TOR]
• Sun Crypto Accelerator 6000 [Product ID 9894]
• Sun GlassFish Enterprise Server 2.x [Product ID 8493]
• Sun Network 10GE Switch 72p [Product ID 9889/OPUSC10NEM]
• Sun Ray Operating Software 11.x [Product ID 9211]
• Sun Ray Software 5.x [Product ID 8242]
• Sun System Firmware [Product ID 9846]
• SuperCluster [Product ID 10011]
• Tape Drive T10000D [Product ID 10080]
• Tape Library ACSLS Slim [Product ID 10087]
• Tape Library ACSLS CSC Toolkit [Product ID 10089]
• Tape Library ACSLS HA [Product ID 10090]
• Tape Library ACSLS LibAttach - Windows Client [Product ID 10091]
• Tape Library ACSLS LibAttach Integrators Pack [Product ID 10092]
• Tape Library ACSLS RMLS - AS/400 Client [Product ID 10093]
• Tape Library ACSLS SNMP Agent [Product ID 10094]
• Tape Library HP SL500 - HP EML Modular Tape Library [Product ID 10096]
• Tape Library SL150 [Product ID 10099]
• Tape Library SL500, SL3000, SL8500 [Product ID 10101, 10100, 10102]
• Tape Virtual ACSSIM - Library, VTSS and VLE Simulator [Product ID 10108]
• Tape Virtual Virtual Library Extension [Product ID 10116]
• Tape Virtual VSM - Virtual Tape SubSystem [Product ID 10117]
• Tekelec HLR Router 3.x, 4.0
• Tekelec Platform Management and Configuration 5.x
• Telemetry Data System [Product ID 9449/TDS]
• Webtier 1.0.2.2 (E-Business Suite uses) [Product ID 1042/MODSSL]

2. Produits Oracle actuellement en phase d’investigations et qui pourraient être touchés par la vulnérabilité CVE-2014-0160

Le service Global Product Security d’Oracle est toujours en phase d’investigations pour savoir si les produits suivants utilisent des versions des librairies OpenSSL qui sont connus pour être touchés par la vulnérabilité CVE-2014-0160.

• Corente products
• EBS Advanced Technology Group products
• Fusion Middleware Control [Product ID 1369]
• Nimbula Director [Product ID 10773]
• OC4J [Product ID 1270]
• Oracle Event Processing [Product ID 5370]
• Oracle JRockit [Product ID 5260]
• Oracle Notification Services [Product ID 1032]
• Oracle Process Management and Notification [Product ID 1032]
• Oracle SOA Suite 10g [Product ID 1669]
• Oracle Web Services [Product ID 1271]
• Oracle Web Services Manager [Product ID 1775]
• Oracle WebCenter Portal [Product ID 1696]
• Siebel CRM [Product ID 9011]
• Sun Storagetek Crypto Key Management System [Product ID 10068]

3. Produits Oracle qui pourraient être touchés par la vulnérabilité VE-2014-0160 mais pour lesquels des correctifs sont disponibles

Le service Global Product Security d’Oracle a déterminé que les produits suivants ont utilisé des versions de librairies OpenSSL qui sont connues pour être touchées par la vulnérabilité CVE-2014-0160. Oracle fournit des correctifs sur ces produits. D’autres instructions d’atténuation permettant d’empêcher l’exploitation de cette vulnérabilité peuvent aussi être fournies ultérieurement.

4. Produits Oracle qui pourraient être touchés par la vulnérabilité VE-2014-0160 mais pour lesquels aucun correctif n’est disponible à ce jour

Le service Global Product Security d’Oracle a déterminé que les produits suivants ont utilisés des versions des librairies OpenSSL, dans au moins une version du projet, qui ont été connues pour être touchés par la vulnérabilité CVE-2014-0160.

• Oracle Communications Internet Name and Address Management [Product ID 2262]
• Oracle Communications ASAP 7.2.0.2 [Product ID 2260]
• Oracle Communications Session Delivery Management Suite NNC 7.3
• Oracle Communications WebRTC Session Controller 7.0.1 [Product ID 10811]
• Oracle Endeca Server (using Tomcat on Windows) [Product ID 10217]
• Oracle Explorer [Product ID 1330/EXPLORER]
• Tape OEM Drive for HP LT-O6 [Product ID 10104]

5. Produits qui ne contiennent pas OpenSSL dans leur distribution par défaut

Ces produits Oracle n’incluent pas OpenSSL dans leur distribution initiale (installation par défaut) et par suite ne devraient pas être touchées par la vulnérabilité CVE-2014-0160. Néanmoins, il est nécessaire d’examiner l’environnement technique associé à ces produits pour voir si cet environnement peut être affecté par cette vulnérabilité.

• ATG Campaign Optimizer [Product ID 9358]
• ATG Outreach [Product ID 9357]
• Auto Service Request [Product ID 9042]
• E-Business Suite R12
• Hyperion EPM
• Java ME - Bluray and TV [Product ID 9319]
• Java ME - Embedded [Product ID 9326]
• Java ME - Javacard [Product ID 9328]
• Java ME - JSRs and Optional Packages
• Java ME - Mobile and Wireless
• Java SE [Product ID 856]
• JavaVM
• Linear Tape File System Library Edition [Product ID 10259]
• Management Pack for Oracle GoldenGate [Product ID 5759]
• MySQL Cluster [Product ID 8479]
• MySQL Cluster Manager [Product ID 8479/CLSTMGR]
• MySQL Community Server version 5.6 [Product ID 6850]
• MySQL Connector/C++ [Product ID 8576/CONCPLS]
• MySQL Connector/Java [Product ID 8576/CONJ]
• MySQL Connector/NET [Product ID 8576/CONNET]
• MySQL Connector/PHP (mysqlnd) [Product ID 8576/CONMYND]
• MySQL Connector/Python [Product ID 8576/CONPYTHN]
• MySQL Server (all licenses, versions 5.5 and earlier) [Product ID 8478]
• MySQL Utilities [Product ID 4627/WBUTILS]
• OFSS FLEXCUBE Electronic Bill Presentment and Payment [Product ID 9495]
• Oracle Access Manager 11g Server
• Oracle Access Portal [Product ID 10878]
• Oracle Adaptive Access Manager 11g Server [Product ID 4419]
• Oracle Agile Product Lifecycle Management [Product ID 4461]
• Oracle Application Express (formerly Oracle HTML DB) [Product ID 1348]
• Oracle Application REST Data Services (formerly Oracle APEX Listener) [Product ID 9456]
• Oracle ATG Web Commerce Business Intelligence [Product ID 9354]
• Oracle ATG Web Knowledge Manager [Product ID 9352]
• Oracle ATG Web Knowledge Manager Self-Service [Product ID 9353]
• Oracle Autovue
• Oracle Banking Platform [Product ID 9178]
• Oracle Business Intelligence Standard Edition (aka Discoverer) [Product ID 964]
• Oracle CODASYL DBMS [Product ID 624]
• Oracle Coherence [Product ID 2545]
• Oracle Commerce ACC [Product ID 9348]
• Oracle Commerce Assisted Selling Application [Product ID 9348]
• Oracle Commerce Platform [Product ID 9349]
• Oracle Commerce Reference Store [Product ID 9348]
• Oracle Commerce Service Center [Product ID 9351]
• Oracle Commerce Web Server Extensions [Product ID 9349]
• Oracle Communications Application Integration Architecture
• Oracle Communications Application Management Pack
• Oracle Communications Calendar Server (CalDAV) [Product ID 8494]
• Oracle Communications Calendar Server 6.3 [Product ID 6754]
• Oracle Communications Configuration Management [Product ID 2268]
• Oracle Communications Converged Application Server [Product ID 5382]
• Oracle Communications Converged Application Server - Service Controller [Product ID 10593]
• Oracle Communications Convergence
• Oracle Communications Design Studio [Product ID 2283]
• Oracle Communications Eagle STP
• Oracle Communications Elastic Charging Engine [Product ID 9742]
• Oracle Communications Index and Search Service (UCS) [Product ID 8503]
• Oracle Communications Instant Messaging Server 9.0.1.5 [Product ID 8495]
• Oracle Communications Messaging Server [Product ID 8496]
• Oracle Communications Network Integrity
• Oracle Communications Network Intelligence
• Oracle Communications Offline Mediation Controller [Product ID 2269]
• Oracle Communications Online Mediation Controller [Product ID 10594]
• Oracle Communications Pipeline Configuration Center
• Oracle Communications Pricing Design Center [Product ID 9437]
• Oracle Communications Service Broker [Product ID 8565]
• Oracle Communications Service Controller [Product ID 8565]
• Oracle Communications Service Gatekeeper [Product ID 5381]
• Oracle Communications Unified Inventory Management
• Oracle Complex Maintenance, Repair and Overhaul [Product ID 1184]
• Oracle Data Integrator [Product ID 2196]
• Oracle Database [Product ID 5]
• Oracle Depot Repair [Product ID 516]
• Oracle Directory Server Enterprise Edition [Product ID 8512]
• Oracle Documaker [Product ID 5477]
• Oracle Enterprise Data Quality [Product ID 9464]
• Oracle Enterprise Single Sign-On Suite [Product ID 2074]
• Oracle Entitlement Server [Product ID 5296]
• Oracle Financial Service Lending and Leasing [Product ID 10484]
• Oracle FLEXCUBE Connect [Product ID 9051]
• Oracle FLEXCUBE Core Banking [Product ID 9101]
• Oracle FLEXCUBE Direct Banking [Product ID 9111]
• Oracle FLEXCUBE Enterprise Limits and Collateral [Product ID 9100]
• Oracle FLEXCUBE Investor Servicing [Product ID 9099]
• Oracle FLEXCUBE Messaging Hub [Product ID 9102]
• Oracle FLEXCUBE Private Banking [Product ID 9110]
• Oracle FLEXCUBE Remit [Product ID 9097]
• Oracle FLEXCUBE Universal Banking [Product ID 9052]
• Oracle Forms [Product ID 45]
• Oracle GlassFish Communications Server 2.x [Product ID 8513]
• Oracle GoldenGate [Product ID 5757]
• Oracle GoldenGate Application Adapters [Product ID 5760]
• Oracle GoldenGate Veridata [Product ID 5758]
• Oracle Health Sciences InForm Adapter [Product ID 9637]
• Oracle Health Sciences InForm and Oracle Siebel Clinical Integration Pack for Subject and Status Information [Product ID 9601]
• Oracle Health Sciences InForm CRF Submit [Product ID 9641]
• Oracle Health Sciences InForm Publisher [Product ID 9638]
• Oracle HTTP Server [Product ID 1042]
• Oracle Identity Analytics [Product ID 8522]
• Oracle Identity Federation 11g [Product ID 1741]
• Oracle Identity Manager [Product ID 1980]
• Oracle Internet Directory [Product ID 355]
• Oracle iPlanet Web Proxy Server 4.0 [Product ID 8542]
• Oracle iPlanet Web Server 7.0 [Product ID 8543]
• Oracle Knowledge [Product ID 9571]
• Oracle Live Help On Demand [Product ID 9360]
• Oracle Mobile and Social [Product ID 9146]
• Oracle Pedigree and Serialization Manager [Product ID 4674]
• Oracle Policy Automation [Product ID 5624]
• Oracle Policy Automation Connector for SAP Java Connector [Product ID 5628]
• Oracle Policy Automation Connector for Siebel [Product ID 5627]
• Oracle Policy Automation for Mobile Devices [Product ID 5626]
• Oracle Policy Modeling [Product ID 5623]
• Oracle Portal [Product ID 96]
• Oracle Rdb Server on OpenVMS [Product ID 623]
• Oracle Recommendations On Demand [Product ID 9366]
• Oracle Reports [Product ID 159]
• Oracle Security Token Service 11g [Product ID 5744]
• Oracle Service Bus (part of SOA Suite) [Product ID 5308]
• Oracle SOA Suite [Product ID 1162]
• Oracle StorageTek Linear Tape File System [Product ID 10564]
• Oracle Sun OpenSSO 8.x Server [Product ID 8520]
• Oracle Trace File Analyzer
• Oracle Traffic Director [Product ID 9276]
• Oracle Transportation Management 6.3 [Product ID 1991]
• Oracle Unified Directory [Product ID 9118]
• Oracle Virtual Desktop Client 3.x [Product ID 8541]
• Oracle Virtual Directory [Product ID 1978]
• Oracle Wallet Manager [Product ID 338, 991/WMT]
• Oracle Watchlist Screening [Product ID 9465]
• Oracle Waveset [Product ID 8518]
• Oracle Web Cache [Product ID 1059]
• Oracle WebCenter Content [Product ID 2271]
• Oracle WebLogic Server 10.3.x and higher [Product ID 5242]
• Oracle WebLogic Web Server Plug-In 1.1+, 11g, 12c [Product ID 5242/PLUGIN_NZ]
• Retail Integration Bus [Product ID 1807]
• Solaris Cluster [Product ID 10005]
• StorageTek Enterprise Library Software [Product ID 10098]
• StorageTek Host Software Component [Product ID 10098]
• StorageTek Library Content Manager [Product ID 10082]
• StorageTek Library Station [Product ID 10098]
• StorageTek MVS Client System Component [Product ID 10098]
• StorageTek Storage Management Component [Product ID 10098]
• StorageTek SVA Administrator [Product ID 10114]
• StorageTek Unisys Client System Component [Product ID 10098]
• StorageTek VM Client [Product ID 9293]
• StorageTek VSM Vault Utility [Product ID 10119]
• Sun Java System Application Server 7.x, 8.x [Product ID 6802]
• Sun Java System Web Proxy Server 3.6+, 4.0+
• Sun Java System Web Server 7.0 [Product ID 7276]
• Sun ONE Web Server 6.1 [Product ID 8543]
• Sun Storage Common Array Manager (CAM) [Product ID 10024]
• Tape Drive 9840A, 9840C, 9840D, 9940A, 9940B [Product ID 10070, 10072-10075]
• Tape Drive T10000A, T10000B, T10000C [Product ID 10077-10079]
• Tape Drive Virtual Operator Panel [Product ID 10081]
• Tape General Expert Performance Reporter [Product ID 10082]
• Tape General ISV Support [Product ID 10083]
• Tape General Linear Tape File System Library Edition [Product ID 10084]
• Tape General StorageTek Tape Analytics SW Tool [Product ID 10085]
• Tape General z/OS Unit Information Module for STK Tape Drives [Product ID 10086]
• Tape Library Automated Cartridge System Library Software [Product ID 10088]
• Tape Library Nearline Control Solution [Product ID 10098]
• Tape Library StorageTek Library Console [Product ID 10103]
• Tape Virtual Concurrent Disaster Recovery Test [Product ID 10109]
• Tape Virtual EXHPDM - High Speed Backup and Restore for Tape [Product ID 10110]
• Tape Virtual Expert Library Manager - 10111 [Product ID 10111]
• Tape Virtual HTTP SERVER - Tape Middleware [Product ID 10112]
• Tape Virtual Lifecycle Director [Product ID 10113]
• Tape Virtual Shared Virtual Array Subsystem [Product ID 10114]
• Tape Virtual Virtual Storage Manager GUI [Product ID 10118]
• Tape Virtual Virtual Tape Control Software [Product ID 10119]

6. L’état d’Oracle Cloud, de My Oracle Support et d’IT Systems

Les équipes de développement et de sécurité d'Oracle sont conscientes de la vulnérabilité révélée publiquement dans certaines versions d'OpenSSL (référencée CVE-2014-0160, ou "Heartbleed" ). Oracle étudie les implications de cette question à travers la pile Oracle. La solution Oracle Cloud utilise une approche de sécurité de type «défense en profondeur», qui prévoit la réduction des risques dus aux contrôles par couches. Oracle a estimé que les infrastructures, les systèmes et les applications utilisées pour fournir des services Oracle Cloud ("Cloud Infrastructure") ne sont pas exposés à cette vulnérabilité, due à l'architecture réseau d’Oracle et à l'utilisation d'accélérateurs SSL qui n'ont pas été déclarés comme vulnérables à CVE-2014-0160. En outre, Oracle a évalué son infrastructure Cloud avec un certain nombre de tests automatisés et manuels et continue de croire qu'il n'est pas actuellement en danger en raison de la vulnérabilité CVE-2014-0160. L'analyse d'Oracle concernant  l'infrastructure d’Oracle Cloud continue. Voir le lien Web suivant pour bénéficier des informations mises à jour par Oracle : http://www.oracle.com/technetwork/topics/security/opensslheartbleedcve-2014-0160-2188454.html Important : Pour les logiciels et les services non gérés par Oracle Cloud, vérifiez que vous avez bien contacté votre fournisseur de logiciel ou service pour obtenir plus d’informations sur les dépendances de leurs solutions par rapport à la vulnérabilité CVE-2014-0160. Voici les services Oracle Cloud les évaluations d’Oracle :

• Oracle Public Cloud
  • Big Machines
  • BlueKai
  • Eloqua
  • Fusion Apps PaaS
  • Fusion Apps SaaS
  • Responsys
  • RightNow
  • Taleo Business Edition
  • Taleo Enterprise
  • Taleo Learn
  • Taleo Job Partners
  • Taleo Social Sourcing
• Oracle Managed Cloud Services - All @oracle Services
  • Agile
  • ATG Optimization
  • ATG Commerce
  • Beehive
  • CRM On Demand
  • Demantra
  • E-Business Suite On Demand
  • Endeca
  • Fusion Apps
  • Golden Gate
  • GRC
  • Hyperion On Demand
  • iLearning
  • Inquira
  • JDE
  • Markdown Optimization
  • MDM
  • OBIEE
  • Oracle Content Manager
  • Oracle Retail
  • Oracle Transportation Manager
  • OTO
  • PeopleSoft On Demand
  • Primavera
  • Siebel On Demand
  • SOA
• Oracle Cloud for Industry
  • Argus Safety, Insight, Analytics
  • Billing and Revenue Management
  • Central Coding
  • Central Designer
  • ClearTrial
  • Enterprise Track (Instantis)
  • Empirica Suite
  • Healthcare Analytic Suite
  • InForm
  • Insurance Data Exchange
  • IRT
  • LabPas
  • Outcome Logix
  • Oracle Financial Services Lending and Leasing
  • Oracle Utilities Cloud Analytics (previously DataRaker)
  • Siebel Clinical Trial Management Service
  • Skire Unifier (hosted at Savvis/CenturyLink and CWH)

Conclusion

Oracle continue de travailler sur les conséquences de cette vulnérabilité sur OpenSSL, tant en apportant les correctifs nécessaires qu'en mettant à jour la note technique référencée dans ce billet. Dans sa note techniques, Oracle rappelle que les conditions contractuelles liées à la fourniture de logiciels et matériels sont définis dans les documents juridiques acceptés par le client. Les informations mentionnées dans la note technique référencée sont EN L'ETAT, sans garantie et sont sujettes à être modifiées. ------------------------------------------------------------------------------------------------------------------------------------------------- DIGORA se tient à la disposition de ses clients pour les aider à mettre en sécurité leurs environnements en liaison avec cette vulnérabilité. Vous souhaitez en savoir plus ? Contactez-nous ici pour de plus amples informations. Index thématique du Blog Digora