Mellékleteink: HUP | Gamekapocs
Keres

136 sebezhetőséget javított az Oracle

Gálffy Csaba, 2016. április 25. 09:30
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Több termékcsaládban is kritikus sebezhetőséget javít az Oracle friss javítócsomagja. A menetrendszerűen kiadott csomag most 136 különböző hibát orvosol, a 49 érintett termék között megtalálható az Oracle Database Server, a Java, a MySQL és a Solaris is.

Menetrendszerűen érkezett az Oracle áprilisi javítócsomagja, amely szokás szerint a cég (szinte) összes termékéhez hoz javításokat, frissítéseket, biztonsági foltozást. A legnagyobb változást azonban a CVSSv3 bevezetése hozza, a cég immár egy átdolgozott pontozási rendszerben méri a foltozott sebezhetőségek kritikus jellegét.

Az áprilisi CPU (Critical Patch Update) szokás szerint az Oracle szinte minden termékéhez tartalmaz frissítést, így a PeopleSofttól a JD Edwards-ig, a Siebltől az Oracle Life Sciences-ig, a JRockittól a Solaris Clusterig szerepelnek alkalmazások rajta. A fontosabbak persze a Java SE, a MySQL, a DataBase Server és a Solaris, amelyeket a legtöbb helyen, illetve támadásnak legkitettebb gépeken használnak.

Az Oracle Database Server öt frissítést kapott, ezek legmagasabb besorolása az új pontozás szerint 9.0, ami kritikusnak számít, és a 11.2 illetve 12.1-es verziók némelyikét érinti. A köztesréteg-szoftverek között több 9.8-as besorolású hibát is javít a cég, a GlassFish Servert, a WebLogic és WebCenter termékeket is érdemes azonnal frissíteni. A Java SE kilenc frissítést kap, ezek közül négy kapott 9.0-nál magasabb (kritikus) besorolást, a legmagasabb három pedig 9.6-os pontot ért el. A javítások teljes listája az Oracle hivatalos oldalán érhető el.

Új pontozási rendszer

A frissítéssel az Oracle bevezette a CVSS 3.0-t (Common Vulnerability Scoring Standard), vagyis kicsit másképp pontozza a sebezhetőségek fontosságát és kritikus jellegét, mint eddig. Az átállás jegyében a most kiadott frissítéseket mindkét rendszerben, CVSSv2 és CVSSv3 alatt is pontozza a cég (legalábbis elvben, a régi metodológia alapján számolt pontszámokat az Oracle még nem hozta nyilvánosságra tudomásunk szerint). Mindenesetre a következő javítócsomagokat már egységesen CVSS v3 alatt pontozza, mely általában számottevően magasabb és pontosabb pontszámokat jelent majd.

A pontozás azért nagyon fontos, mert rengeteg nagy szervezet a pontozáshoz köti a frissítések telepítését (illetve a telepítés prioritását). A belső szabályok például magas prioritást rendelhetnek a bizonyos pontszám fölötti frissítések telepítéséhez, bizonyos pontszám alatt pedig a szervezet akár el is tekinthet a foltozástól. Emiatt az Oracle-t korábban sok kritika érte, hogy konzisztensen alulpontozza a termékeiben található sebezhetőségeket, így sok nagyon fontos hiba kapott az indokoltnál alacsonyabb besorolást.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.