Security update Oracle April 2019

Oracle brengt viermaal per jaar een security patch advies uit en op 16 april j.l. is het tweede advies van 2019 uitgebracht. Zoals u van ons inmiddels gewend bent leveren wij u een beknopte samenvatting van deze Critical Patch Updates (CPU). Het patch advies van Oracle bevat 297 nieuwe kwetsbaarheden verdeeld over alle Oracle producten. Een deel hiervan (46%) is niet Oracle gerelateerd en zijn afkomstig van software van derden, denk aan bijvoorbeeld opensource applicaties welke zijn opgenomen in Oracle producten.

Elk patch advies bevat nieuwe kwetsbaarheden die in de software is gevonden en niet gepatchte software maakt het voor hackers extra makkelijk om data te stelen of te verminken. Reden genoeg om regelmatig te patchen dus! Veel organisaties bepalen in een patchplan hoe vaak per jaar er gepatcht wordt om te voorkomen dat het altijd een ad-hoc beslissing blijft. Heeft u al nagedacht over een patchplan?

Net als het advies in januari van begin dit jaar, zijn de kwetsbaarheden die worden opgelost met betrekking tot de database minder ernstig van aard. Voor vijf van de zes kwetsbaarheden geldt dat er eerst ingelogd dient te worden voordat er misbruik van gemaakt kan worden of dat het risico ervan laag is. Gegeven de impact van de kwetsbaarheden is er voor de database geen reden af te wijken van het al gedefinieerde patch beleid.

Het aantal kwetsbaarheden gerelateerd aan Enterprise Manager en Weblogic is groter en zo ook het risico. De Enterprise Manager bevat 11 nieuwe kwetsbaarheden waarvan er 7 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie.

Weblogic Server bevat 6 nieuwe kwetsbaarheden waarvan er 3 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie. Op 26 april is er additioneel Critical Patch Update advies uitgebracht voor WebLogic Server, waarmee het totaal aantal te misbruiken kwetsbaarheden nu 4 is geworden. Gegeven de impact van deze kwetsbaarheden is het advies Enterprise Manager en Weblogic Server te patchen.

Kwetsbaarheden waarbij het verkrijgen van remote toegang zonder enige authenticatie nodig is, geldt altijd het advies patchen.

De volgende CPU komt uit op 16 juli.