Security update Oracle april 2018

Op dinsdag 17 april 2018 heeft Oracle haar driemaandelijkse CPU uitgebracht. CPU staat voor Critical Patch Update en is in feite een verzameling van patches voor verschillende kwetsbaarheden in Oracle producten. Een CPU patch is meestal cumulatief, wat wil zeggen dat een patch een verzameling is de inhoud van alle CPU patches tot nu toe. Dit betekent dat met het uitvoeren van de laatst uitgekomen CPU patch, je direct beschermd bent tegen alle kwetsbaarheden die opgelost zijn in eerdere CPU patches.

Oracle adviseert om zonder vertraging alle uitgekomen patches direct uit te voeren. Dit is een advies wat wij graag overnemen! Is driemaandelijkse geplande downtime voor de organisatie niet haalbaar? Ontwikkel dan een patchstrategie die wel aansluit op organisatiebehoefte. We denken graag met u mee!

De CPU van dit kwartaal bevat op het gebied van database slechts één fix voor het Database Component Java VM. Om de kwetsbaarheid te kunnen misbruiken heeft een aanvaller een geauthentiseerde sessie naar de database nodig. Daarnaast is voor misbruik het ‘create procedure’ recht nodig. Alle door Oracle ondersteunde versies van Oracle Database zijn kwetsbaar. Wanneer het database component niet in de database is geïnstalleerd, kan wat de security betreft afgezien worden van patchen. Hou er echter rekening mee dat in CPU patches naast kwetsbaarheden ook ‘normale’ bugs opgelost kunnen worden.

Ook in Enterprise Manager (base platform) zijn nauwelijks noemenswaardige kwetsbaarheden gevonden. De schaarste aan kwetsbaarheden in Oracle Database en Enterprise Manager dit kwartaal wordt echter ruimschoots gecompenseerd door de gevonden kwetsbaarheden in Weblogic Server, de applicatieserver waar Enterprise Manager gebruik van maakt. De toegekende score varieert van 7.8 tot en met 9.8. Enkele van de kwetsbaarheden hebben vooraf geen autorisatie nodig om misbruikt te kunnen worden. De hoge scores geeft aan dat patchen serieus overwogen moet worden. De kwetsbaarheden kunnen via HTTP misbruikt worden.

De volgende Critical Patch Update komt uit op 17 juli 2018.

Scroll to Top