Security update Oracle April 2020

Op 14 april 2020 heeft Oracle de tweede Critical Patch Update (CPU) van 2020 uitgebracht. In deze CPU stelt Oracle patches beschikbaar voor verschillende van haar producten. Dit is noodzakelijk omdat er vaak ernstige kwetsbaarheden in de software gevonden worden.  

In de CPU van april worden 8 kwetsbaarheden voor de database opgelost. In tegenstelling tot het advies in januari van begin dit jaar, zijn de kwetsbaarheden die worden opgelost met betrekking tot de database minder ernstig van aard. Voor deze kwetsbaarheden geldt dat er eerst ingelogd dient te worden voordat er misbruik van gemaakt kan worden of kan niet remote worden toegepast. Gegeven de impact van de kwetsbaarheden is er voor de database geen reden af te wijken van het al gedefinieerde patch beleid. 

Het aantal kwetsbaarheden gerelateerd aan Enterprise Manager en Weblogic is groter en zo ook het risico. De Enterprise Manager bevat 7 nieuwe kwetsbaarheden waarvan 4 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie en één van deze vier heeft een CVSS score 9.8. Weblogic Server bevat 52 nieuwe kwetsbaarheden waarvan er 45 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie. Gegeven de impact van deze kwetsbaarheden is het advies Enterprise Manager en Weblogic Server direct te patchen. 

In de media (o.a. zdnet, tweakers) verschijnen diverse meldingen dat CVE-2020-2883 actief wrodt misbruikt. Deze security bug is gefixed in deze (aprils 2020) CPU. Voor achtergrondinformatie met betrekking tot deze bug biedt een eerder gepubliceerd artikel nuttig leeswerk.

Elk patch advies bevat nieuwe kwetsbaarheden die in de software is gevonden. Niet gepatchte software maakt het voor hackers extra makkelijk om data te stelen of te verminken. Reden genoeg om regelmatig te patchen. In een patchplan bepaal je o.a. hoe vaak per jaar er minimaal gepatcht wordt om te voorkomen dat het altijd een ad-hoc beslissing blijft. Heb jij al een patchplan? 

Data nog geplande CPU’s voor 2020: 

  • 14 juli 2020 
  • 20 oktober 2020 

Mocht je hulp nodig hebben of je hebt vragen n.a.v. dit artikel, laat het ons dan weten.

Referenties: 

Scroll to Top