Op 14 januari 2020 heeft Oracle de eerste Critical Patch Update (CPU) van het nieuwe jaar uitgebracht. In deze CPU stelt Oracle patches beschikbaar voor verschillende van haar producten. Dit is noodzakelijk omdat er vaak ernstige kwetsbaarheden in de software gevonden worden.
In het nieuws kunnen we lezen dat het beveiligen van informatiesystemen belangrijk is, voorbeelden hiervan zijn Universiteit Maastricht en de grootste ziekenhuisketen van de Amerikaanse staat New Jersey die getroffen zijn door ramsomware. Naast imagoschade betaalde deze bedrijven tevens grootte sommen losgeld. Afgelopen week zijn Medisch Centrum Leeuwarden en de gemeente Zutphen ook getroffen door ramsomware, waarbij de laatste geen losgeld heeft betaald.
Veel organisaties hebben afgelopen jaar een patchplan opgesteld en bepaald hoe vaak er per jaar gepatcht wordt. Indien uw organisatie geen patch beleid heeft dan is nu tijd daar direct mee aan te vangen en het niet langer uit te stellen.
In de CPU van januari worden 12 kwetsbaarheden voor de database opgelost en 5 daarvan zijn van dien aard dat onmiddellijk patchen noodzaak is. Zo geldt voor vier kwetsbaarheden dat er geen autorisatie nodig voordat er misbruik van gemaakt kan worden.
Het aantal kwetsbaarheden gerelateerd aan Enterprise Manager en Weblogic is groter en zo ook het risico. De Enterprise Manager bevat 50 nieuwe kwetsbaarheden waarvan er 10 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie. Weblogic Server bevat 38 nieuwe kwetsbaarheden waarvan er 30 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie. Gegeven de impact van deze kwetsbaarheden is het advies Enterprise Manager en Weblogic Server direct te patchen.
Kwetsbaarheden waarbij het verkrijgen van remote toegang zonder enige authenticatie nodig is, geldt altijd het advies patchen.
Dit geldt ook voor systemen die vanaf het internet te benaderen zijn. In andere gevallen is dit afhankelijk van de betrouwbaarheid en beveiliging van het interne netwerk.
De volgende CPU van 2020 komt uit op 14 April 2020.
Mocht je hulp nodig hebben bij het patchen van je omgeving dan helpen we graag.
Planning CPU 2020:
- 14 juli 2020
- 20 oktober 2020