Oracle meldt kritieke kwetsbaarheden in groot aantal producten

[Captain Kirk]

Tijdens de eerste patchronde van dit jaar heeft Oracle een groot aantal kwetsbaarheden in de eigen producten verholpen, waaronder meerdere kritieke beveiligingslekken waardoor aanvallers systemen zonder authenticatie en interactie van gebruikers op afstand kunnen overnemen.

De kritieke problemen zijn onder andere aanwezig in Oracle MySQL, Essbase, Oracle Communications, Oracle Banking, Oracle Enterprise, Oracle Hyperion, JD Edwards EnterpriseOne, Oracle Retail en XCP Firmware. Het gaat om meerdere kwetsbaarheden waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8. Ook zijn er meerdere kritiek beveiligingslekken met een impactscore van 9.1 verholpen.

Oracle zegt dat het geregeld berichten blijft ontvangen van aanvallen waarbij er misbruik wordt gemaakt van kwetsbaarheden waarvoor het al beveiligingsupdates heeft uitgebracht. Sommige van de aanvallen waren ook succesvol omdat klanten hadden nagelaten de patches te installeren, aldus het softwarebedrijf. Oracle roept organisaties dan ook op om de nu beschikbaar gestelde updates meteen te installeren en alleen nog ondersteunde versies van de producten te blijven gebruiken.

In tegenstelling tot bijvoorbeeld Adobe of Microsoft komt Oracle niet elke maand maar elk kwartaal met updates. De volgende patchrondes staan gepland voor 16 april, 16 juli en 25 oktober 2024.

 

bron: https://www.security.nl