Oracle roept organisaties op om updates voor kritieke lekken meteen te installeren

[Captain Kirk]

Oracle heeft tijdens de patchronde van oktober 370 beveiligingsupdates voor een groot aantal producten uitgebracht en roept organisaties op om die meteen te installeren. Volgens het softwarebedrijf worden organisaties nog altijd succesvol aangevallen omdat ze nagelaten hebben beschikbare patches uit te rollen.

De 370 updates zijn niet te vertalen naar een zelfde aantal kwetsbaarheden, aangezien een beveiligingslek in meerdere producten kan voorkomen. Tientallen beveiligingslekken hebben op een schaal van 1 tot en met 10 een impactscore van 9.8 gekregen. Dat houdt vaak in dat een aanvaller deze producten op afstand, zonder al teveel moeite en zonder zich te authenticeren kan aanvallen, om vervolgens willekeurige code uit te voeren.

Het gaat onder andere om Data Integrator, WebCenter Sites, Healthcare Foundation, JD Edwards EnterpriseOne Tools, MySQL Enterprise Backup, GoldenGate, Secure Backup, Commerce Platform en verschillende communcatie-applicaties van Oracle. Wanneer organisaties updates niet meteen kunnen installeren geeft Oracle als tijdelijke oplossing om de netwerkprotocollen vereist voor een aanval te blokkeren, rechten van gebruikers te verwijderen of de mogelijkheid om packages te benaderen, maar erkent ook dat dit ervoor kan zorgen dat applicaties niet meer werken.

In tegenstelling tot bijvoorbeeld Adobe of Microsoft, die elke maand met updates komen, brengt Oracle eens per kwartaal patches uit. De volgende patchronde staat gepland voor 17 januari 2023.

 

bron: https://www.security.nl