Security update Oracle April 2017

Wie het nieuws in de gaten houdt, weet dat het steeds belangrijker wordt om de databeveiliging goed op orde te hebben. Zeker sinds op 1 januari 2016 de ‘meldplicht datalekken’ is gaan gelden, wordt het steeds duidelijker hoe vaak het mis gaat. Een belangrijk onderdeel van databeveiliging is het regelmatig patchen van in gebruik zijnde software. Oracle brengt elk kwartaal een ‘Critical Patch Update’ (CPU) uit waarin patches voor verschillende Oracle producten beschikbaar worden gesteld. Deze patches bevatten fixes voor bij Oracle bekende beveiligingslekken.

De tweede CPU van dit jaar is uitgekomen op dinsdag 18 april. Net zoals in de CPU van januari, valt het aantal fixes voor de database mee: twee voor de databasesoftware en één voor Oracle Secure Backup. Wat de fixes voor de databasesoftware betreft is het niet perse noodzakelijk om deze patch uit te voeren. De kwetsbaarheden zijn moeilijk te misbruiken, daar komt bij dat ze niet te misbruiken zijn zonder eerst op de database in te loggen.

Wat Oracle Fusion Middleware betreft zijn maar liefst 31 fixes beschikbaar gesteld. Wanneer we ons beperken tot enkel WebLogic server, dan valt op dat een belangrijke kwetsbaarheid in het Struts2 framework van Apache is opgelost. Wanneer de WebLogic Server vanaf internet te benaderen is, is het aan te raden de patch van april uit te voeren. In andere gevallen is dit afhankelijk van de betrouwbaarheid en beveiliging van het interne netwerk.

De volgende CPU komt uit op 18 juli 2017.