Security update Oracle april 2016

Op 19 april heeft Oracle zijn drie maandelijkse security update vrijgegeven. Afhankelijk van het intern gedefinieerde patch beleid is het nu zaak de uitgebrachte patch aan te brengen en te testen of de impact te evalueren. Omdat patchen (veel) tijd kost is het verstandig een evaluatie te doen van de opgeloste security issues.

Voor de database is hier een overzicht te krijgen van de issues die zijn opgelost in deze security patch. Voor de Middleware producten is deze hier te vinden.

De database patch adresseert slecht vijf verschillende issues. Hiervan zijn er 2 zonder dat er al toegang tot de database verkregen is te exploiteren. Hierbij wordt dan gebruik gemaakt van Kerberos functionaliteit of van de JavaVM.

De andere issues maken gebruik van Oracle NET in combinatie met andere database functionaliteit. Hier is minimaal toegang tot de database noodzakelijk.

Hoewel het uitbuiten van deze bug’s als complex wordt beschouwd, adviseren wij, gezien het risico dat deze bugs met zich meebrengen, toch om de patch uit te voeren..

Onder het kopje Fusion Middleware staan 22 vulnerabities voor een verscheidenheid aan producten. Deze zullen per product geevalueerd moeten worden. Als we ons hier beperken tot WebLogic blijven er zes over. Geen van deze vereist autorisatie om te gebruiken.

Hierbij zal goed gekeken moeten worden naar uw eigen infrastructuur en het risico profiel. Vertrouwen op functionaliteit als firewalls kan doen besluiten af te zien van patchen. Als strikt naar de beschrijving van de gemelde issues lijkt patchen wel aan te bevelen.

Scroll to Top