Oracle waarschuwt voor groot aantal kritieke beveiligingslekken

[Captain Kirk]

Oracle heeft tijdens de patchronde van juni organisaties gewaarschuwd voor een groot aantal kritieke kwetsbaarheden in verschillende producten. Elf van de beveiligingslekken hebben de maximale CVSS-impactscore van 10.0 op een schaal van 1 tot en met 10, waaronder WebLogic Server, een product dat in het verleden vaker doelwit van aanvallen is geweest. Oracle roept klanten op om de beschikbaar gestelde beveiligingsupdates meteen te installeren.

Jarenlang kwam Oracle eens per kwartaal met patches. Recentelijk maakte het bedrijf bekend dat het vanwege AI, waardoor kwetsbaarheden veel sneller worden gevonden, maandelijks updates gaat uitbrengen. In mei verscheen de eerste Critical Security Patch Update. Nu is de tweede maandelijkse patchronde verschenen, die 245 beveiligingsupdates bevat. Het gaat om patches voor een groot aantal kritieke kwetsbaarheden.

Elf van de kwetsbaarheden hebben zoals gezegd de maximale CVSS-impactscore van 10.0 en 41 zijn er beoordeeld met een score van 9.9. De grootste problemen zijn aanwezig in Oracle E-Business Suite, Oracle Enterprise Manager, Oracle Fusion Middleware, Oracle JD Edwards en Oracle MySQL. Hieronder vallen verschillende softwareproducten, waaronder meerdere producten die eerder doelwit van aanvallen waren, zoals WebLogic Server, PeopleSoft, Fusion Middleware, E-Business Suite en Oracle Agile Product Lifecycle Management (PLM).

Een aantal dagen geleden kwam Oracle ook met een noodpatch voor een kwetsbaarheid in PeopleSoft. Oracle meldt in het beveiligingsbulletin in dik gedrukte letters dat het meldingen blijft ontvangen van klanten die gehackt zijn via kwetsbaarheden waarvoor patches al beschikbaar waren. Klanten hadden nagelaten de updates te installeren. Oracle adviseert dan ook om de nu uitgebrachte updates meteen uit te rollen.

 

bron: https://www.security.nl