Oracle heeft 19 januari zijn drie maandelijkse security update vrijgegeven. Veel organisatie negeren deze regelmatige patch of passen deze volgens een strikt regime toe. Het is altijd de vraag of deze security patch problemen oplost die voor uw omgeving van belang zijn.
Voor de database is hier een overzicht te krijgen van de issues die zijn opgelost. Voor de Middleware producten is deze hier te vinden.
Bij de database issues die gemeld zijn valt op dat ‘Remote Exploit without authorization’ voor alle issues op ‘No’ staat. Hiermee is het dus noodzakelijk dat er een valide database connectie/account moet bestaan om gebruik te kunnen maken van deze vulnerability. Hiermee is het risico van een ‘koude aanval’ al sterk gereduceerd.
Afhankelijk van de eigen infrastructuur wordt het risico af te zien van deze patch als niet onverantwoord ingeschat.
Voor WebLogic zijn er wel diverse vulnerabilities die geen autorisatie vereisen maar direct over het netwerk kunnen plaatsvinden. Hierbij zal goed gekeken moeten worden naar uw eigen infrastructuur en het risico profiel. De argumentatie zoals deze in het artikel over de deserialization vulnerability te vinden zijn. Een goede filtering op de firewall beschermt al veel.
Let wel voor zowel de database als de middleware issues geldt dat een ‘insider’ wel gebruik zou kunnen maken van de gerapporteerde issues.