Overslaan en naar de inhoud gaan
Nieuws
22 oktober 2020 leestijd 1 minuut 0 reacties

Oracle dicht 402 gaten in grote patchronde

Oracle heeft in zijn driemaandelijkse Critical Patch Update maar liefst 402 kwetsbaarheden gedicht. Zeker de helft van de fouten is te misbruiken zonder dat een aanvaller inloggegevens nodig heeft. Twee fouten hebben bovendien een CVSS-score van 10 op een schaal van 10.
Eveline Meijer
Eveline MeijerRedacteurMeer van deze auteur
© Flickr
Flickr

Eén van de meest kritieke fouten zit in een self-service analytics-component van Oracle Healthcare Foundation, schrijft Threatpost. Die te patchen software is een analytics-platform voor de gezondheidszorg uit de Oracle Health Science Applications-suite. De kwetsbaarheid maakt het voor aanvallers mogelijk om eigen code uit te voeren op kwetsbare systemen. Hackers kunnen deze kwetsbaarheid op afstand misbruiken, zonder dat hiervoor interactie van gebruikers of beheerders nodig is. Ook zijn er geen inloggegevens vereist. Deze combinatie levert de topscore op van 10 op de CVSS-schaal De fout zit in versies 7.1.1, 7.2.0, 7.2.1 en 7.3.0 van het platform.

De tweede fout met een CVSS-score van 10 zit in een module van Oracle Solaris, het enterprise-besturingssysteem voor Oracle Database en Java-applicaties. Een succesvolle aanval gebruikmakend van deze fout kan ertoe leiden dat Oracle Solaris wordt overgenomen door een hacker. Deze fout is ook op afstand te misbruiken, en ook zonder dat er inloggegevens vereist zijn of dat een gebruiker iets hoeft te doen. De kwetsbaarheid treft versies 10 en 11 van deze Unix-variant.

Op afstand te misbruiken

De meeste fouten die nu met de uitgebrachte patches zijn te dichten, bevinden zich in Oracle Financial Services Applications en in Oracle MySQL. Beide softwaregevallen bevatten 53 fouten. Verder zijn er veel kwetsbaarheden gevonden in Oracle Communications (52 stuks), Oracle Fusion Middleware (46 stuks), Oracle Retail Applications (28 stuks) en Oracle E-Business Suite (27 kwetsbaarheden). In totaal zijn 27 Oracle-productfamilies getroffen door de kwetsbaarheden.

Maar liefst 272 van de 402 fouten zijn op afstand te misbruiken, zonder dat er inloggegevens vereist zijn. Naast de twee extreem kritieke fouten zijn er nog eens 56 lekken gevonden met een CVSS-topscore van 9,8 op de schaal van 10. Zes andere fouten krijgen een score van 9,4. Oracle raadt dan ook aan dat klanten de patches zo snel mogelijk installeren. Een volledige lijst van de fouten is beschikbaar op de website van Oracle

Gerelateerde artikelen
Gerelateerde artikelen
Gerelateerde artikelen
Meer whitepapers
MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in