Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

Megszórja patchekkel a felhasználóit az Oracle

Bodnár Ádám, 2014. január 13. 13:22
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Történetének egyik legnagyobb frissítőkeddjére készül az Oracle, a vállalat közel másfélszáz javítást ad ki szoftvereihez. Egyedül a Javában 36 sebezhetőséget foltoz a cég, amelyek közül 34 alkalmas távoli kódfuttatásra.

hirdetés

A Microsoftnál viszonylag csendes lesz a januári frissítőkedd, az Oracle azonban eddigi történetének egyik legnagyobb frissítéscunamiját zúdítja a felhasználóira, a vállalat nem kevesebb mint 147 javítást ad ki január 14-én. A hatalmas patchmennyiséget csak részben indokolja, hogy az Oracle az elmúlt évek során vállalatok, és ezzel szoftvertermékek hosszú sorát tette a magáévá.

Az Oracle nem havonta, csak negyedévente ad ki rendszeres biztonsági frissítéseket, a cég oldalán pedig már elérhető a januári adaggal kapcsolatos előzetes értesítés, amely termékcsoportonként listázza a javítások számát, illetve hogy a frissítések közül hány foltoz azonosítás nélkül távoli kódfuttatásra alkalmas sebezhetőséget. Az Oracle adatbázisok (11g, 11g R2, 12c) 5 javítást kapnak, ezek közül 1 foltoz távoli kódfuttatásra alkalmas, kritikus sérülékenységet. A kiterjedt middleware-portfólió már sokkal "lyukasabb", 22 sérülékenységre érkezik patch, ezek közül pedig 19(!) javít ki kritikus biztonsági hibát.

Forrás: www.wumo.com

A cég egyik legtöbbet foltozott terméke a Java, ez most sem lesz másképp. Az előzetes értesítés alapján az Oracle Java SE-hez nem kevesebb mint 36 biztonsági frissítést ad ki a cég, ezek közül pedig 34(!) olyan sebezhetőséget foltoz, amelyet kihasználva távolról, felhasználói azonosítás nélkül futtatható tetszőleges kód az áldozat gépén. A Java SE komponensek közül a Java SE, a Java SE Embedded, a JavaFX, valamint a JRockit futtatókörnyezet egyaránt érintett az első negyedéves frissítési hullámban. A népszerű nyílt forrású adatbázis, a MySQL is kap patcheket az Oracle-től, mégpedig mindjárt 18 darabot, amelyek közül 3 foltoz kritikus sebezhetőséget.

A vállalat termékcsoportonként hozza nyilvánosságra, hány frissítés érkezik a szoftverekhez, illetve hogy az adott csoporton belül milyen CVSS (Common Vulnerability Scoring System) besorolású a legveszélyesebb hiba. A cég erre egy tízig tartó skálát használ, amelyen 10.0 jelenti a legnagyobb veszélyt, a távoli, autentikáció nélküli tetszőleges kódfuttatást. A ZDNet egy áttekinthető táblázatban hozza ezeket az információkat, Oracle-környezetek üzemeltetőinek érdemes ezt megtekinteni, hogy a javítások ütemezését elkezdhessék tervezni.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!