Beheer

Security
Oracle

Oracle dicht 402 gaten in grote patchronde

Helft fouten zonder inloggegevens te misbruiken. Plus 2 'topscores'.

Oracle Arena © Flickr May Wong
22 oktober 2020

Helft fouten zonder inloggegevens te misbruiken. Plus 2 'topscores'.

Oracle heeft in zijn driemaandelijkse Critical Patch Update maar liefst 402 kwetsbaarheden gedicht. Zeker de helft van de fouten is te misbruiken zonder dat een aanvaller inloggegevens nodig heeft. Twee fouten hebben bovendien een CVSS-score van 10 op een schaal van 10. 

Eén van de meest kritieke fouten zit in een self-service analytics-component van Oracle Healthcare Foundation, schrijft Threatpost. Die te patchen software is een analytics-platform voor de gezondheidszorg uit de Oracle Health Science Applications-suite. De kwetsbaarheid maakt het voor aanvallers mogelijk om eigen code uit te voeren op kwetsbare systemen. Hackers kunnen deze kwetsbaarheid op afstand misbruiken, zonder dat hiervoor interactie van gebruikers of beheerders nodig is. Ook zijn er geen inloggegevens vereist. Deze combinatie levert de topscore op van 10 op de CVSS-schaal De fout zit in versies 7.1.1, 7.2.0, 7.2.1 en 7.3.0 van het platform.

De tweede fout met een CVSS-score van 10 zit in een module van Oracle Solaris, het enterprise-besturingssysteem voor Oracle Database en Java-applicaties. Een succesvolle aanval gebruikmakend van deze fout kan ertoe leiden dat Oracle Solaris wordt overgenomen door een hacker. Deze fout is ook op afstand te misbruiken, en ook zonder dat er inloggegevens vereist zijn of dat een gebruiker iets hoeft te doen. De kwetsbaarheid treft versies 10 en 11 van deze Unix-variant.

Op afstand te misbruiken

De meeste fouten die nu met de uitgebrachte patches zijn te dichten, bevinden zich in Oracle Financial Services Applications en in Oracle MySQL. Beide softwaregevallen bevatten 53 fouten. Verder zijn er veel kwetsbaarheden gevonden in Oracle Communications (52 stuks), Oracle Fusion Middleware (46 stuks), Oracle Retail Applications (28 stuks) en Oracle E-Business Suite (27 kwetsbaarheden). In totaal zijn 27 Oracle-productfamilies getroffen door de kwetsbaarheden.

Maar liefst 272 van de 402 fouten zijn op afstand te misbruiken, zonder dat er inloggegevens vereist zijn. Naast de twee extreem kritieke fouten zijn er nog eens 56 lekken gevonden met een CVSS-topscore van 9,8 op de schaal van 10. Zes andere fouten krijgen een score van 9,4. Oracle raadt dan ook aan dat klanten de patches zo snel mogelijk installeren. Een volledige lijst van de fouten is beschikbaar op de website van Oracle

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.