136 sebezhetőséget javított az Oracle
Több termékcsaládban is kritikus sebezhetőséget javít az Oracle friss javítócsomagja. A menetrendszerűen kiadott csomag most 136 különböző hibát orvosol, a 49 érintett termék között megtalálható az Oracle Database Server, a Java, a MySQL és a Solaris is.
Menetrendszerűen érkezett az Oracle áprilisi javítócsomagja, amely szokás szerint a cég (szinte) összes termékéhez hoz javításokat, frissítéseket, biztonsági foltozást. A legnagyobb változást azonban a CVSSv3 bevezetése hozza, a cég immár egy átdolgozott pontozási rendszerben méri a foltozott sebezhetőségek kritikus jellegét.
Az áprilisi CPU (Critical Patch Update) szokás szerint az Oracle szinte minden termékéhez tartalmaz frissítést, így a PeopleSofttól a JD Edwards-ig, a Siebltől az Oracle Life Sciences-ig, a JRockittól a Solaris Clusterig szerepelnek alkalmazások rajta. A fontosabbak persze a Java SE, a MySQL, a DataBase Server és a Solaris, amelyeket a legtöbb helyen, illetve támadásnak legkitettebb gépeken használnak.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
Az Oracle Database Server öt frissítést kapott, ezek legmagasabb besorolása az új pontozás szerint 9.0, ami kritikusnak számít, és a 11.2 illetve 12.1-es verziók némelyikét érinti. A köztesréteg-szoftverek között több 9.8-as besorolású hibát is javít a cég, a GlassFish Servert, a WebLogic és WebCenter termékeket is érdemes azonnal frissíteni. A Java SE kilenc frissítést kap, ezek közül négy kapott 9.0-nál magasabb (kritikus) besorolást, a legmagasabb három pedig 9.6-os pontot ért el. A javítások teljes listája az Oracle hivatalos oldalán érhető el.
Új pontozási rendszer
A frissítéssel az Oracle bevezette a CVSS 3.0-t (Common Vulnerability Scoring Standard), vagyis kicsit másképp pontozza a sebezhetőségek fontosságát és kritikus jellegét, mint eddig. Az átállás jegyében a most kiadott frissítéseket mindkét rendszerben, CVSSv2 és CVSSv3 alatt is pontozza a cég (legalábbis elvben, a régi metodológia alapján számolt pontszámokat az Oracle még nem hozta nyilvánosságra tudomásunk szerint). Mindenesetre a következő javítócsomagokat már egységesen CVSS v3 alatt pontozza, mely általában számottevően magasabb és pontosabb pontszámokat jelent majd.
A pontozás azért nagyon fontos, mert rengeteg nagy szervezet a pontozáshoz köti a frissítések telepítését (illetve a telepítés prioritását). A belső szabályok például magas prioritást rendelhetnek a bizonyos pontszám fölötti frissítések telepítéséhez, bizonyos pontszám alatt pedig a szervezet akár el is tekinthet a foltozástól. Emiatt az Oracle-t korábban sok kritika érte, hogy konzisztensen alulpontozza a termékeiben található sebezhetőségeket, így sok nagyon fontos hiba kapott az indokoltnál alacsonyabb besorolást.