Oracle komt dinsdag met 88 patches

Het salvo van patches past in het kwartaalschema dat Oracle voor de verspreiding van beveiligingsupdates hanteert. Dat schema geldt voor applicaties, middleware en infrastructuurproducten.

Oracle hanteert een schaal van 1 tot 10, de zogeheten CVSS 2.0-score, om de ernst van de beschreven kwetsbaarheden aan te geven. De hoogste score (10) is dit kwartaal weggelegd voor een lek in Oracle JRockit, onderdeel van de Fusion Middleware.

Het grootste aantal updates heeft dit kwartaal betrekking op de producten van het overgenomen bedrijf Sun Microsystems. In deze categorie vallen onder meer het besturingssysteem Solaris en de applicatieserver GlassFish.

De security updates per productcategorie

• Op de productgroep Fusion Middleware zijn 22 patches gericht, met producten als Enterprise Manager, HTTP Server, het al genoemde JRockit, MapViewer, Outside In Technology en Portal. Van de kwetsbaarheden in kwestie kunnen er 8 via het netwerk worden uitgebuit zonder da gebruikersnaam of wachtwoord hoeft te worden opgegeven, aldus Oracle.
• Voor diverse onderdelen van de PeopleSoft-lijn zijn in totaal 9 nieuwe stoplappen gemaakt. Geen van de betreffende kwetsbaarheden kan zomaar zonder authenticatie worden geëxploiteerd. De maximale CVSS-score is in dit geval 5.5.
• Klanten van de Siebel CRM-software krijgen 7 patches voor hun kiezen, met een hoogste CVSS-score van 6.8. Kwaadwillenden kunnen 2 kwetsbaarheden op afstand aangrijpen zonder gebruikersnaam en wachtwoord in te voeren.
• In de MySQL-databasesoftware zijn 6 zwakke plekken ontdekt waarmee Oracle dinsdag wil afrekenen. Lichtpuntje is dat geen van deze beveiligingslekken zonder authenticatie kan worden misbruikt. De hoogste CVSS-score is 6.8.
• Voor gebruikers van de Oracle-database zijn 4 veiligheidsupdates in aantocht. Daarvan kunnen er 3 worden aangegrepen zonder dat de aanvaller hoeft in te loggen. De hoogste CVSS-score is 5.0.
• De overige patches van dit kwartaal zijn gericht op Application Express Listener (1), Secure Backup (2), Hyperion (1), Enterprise Manager Grid Control (1), E-Business Suite (4), Supply Chain Products Suite (5) en Industry Applications (1).

Dringend advies: patches zo snel mogelijk uitvoeren

Een volledig overzicht van de zogenoemde Critical Patch Update staat in de vooraankondiging op de website van Oracle. Vanwege de dreiging die van een succesvolle aanval uitgaat, adviseert Oracle alle klanten om de reparatiesoftware zo snel mogelijk te installeren.