Op woensdag 17 januari is door Oracle de eerste Critical Patch Update (CPU) van 2018 uitgebracht. Oracle brengt elke drie maanden een CPU uit waarin het patches beschikbaar stelt voor Oracle producten als: Database, Enterprise Manager en Weblogic. Axis into ICT adviseert om regelmatig deze patches uit te voeren aangezien er vaak ernstige beveiligingslekken worden gedicht.
In de CPU van woensdag 17 januari worden 27 beveiligingspatches voor Oracle Fusion Middleware producten beschikbaar gesteld. De belangrijkste kwetsbaarheid zit in de HTTP-implementatie van Weblogic. Een Base Score van 9.9, geen authenticatie nodig en na misbruik een hoge impact op de availability. Volgens Axis into ICT is alleen deze kwetsbaarheid al voldoende reden om Weblogic-servers te patchen. Aangezien Enterprise Manager gebruik maakt van Weblogic, moet deze omgeving ook meegemomen worden. Voor Enterprise Manager zelf wordt in deze CPU geen patch uitgebracht.
Ook in de Oracle Database software zijn nieuwe kwetsbaarheden gevonden. De belangrijkste krijgt van Oracle een ‘Base Score’ van 9.1. Deze kwetsbaarheid is eenvoudig uit te buiten en de impact van uitbuiting kan groot zijn. Echter is hiervoor wel databaseauthenticatie nodig door een user met ‘create session’ en ‘execute catalog role’ nodig. Aangezien niet veel users dit tweede recht zullen hebben, is de kans op een ‘koude’ aanval klein. Verder zijn drie van de vijf kwetsbaarheden te misbruiken zonder dat hiervoor databaseauthenticatie nodig is. De uitvoeringscomplexiteit is echter hoog waardoor de kans op uitbuiting erg klein wordt. Voor een gevonden kwetsbaarheid in Apex versie 5.1.400.08 (en ouder) is de uitvoeringscomplexiteit wel laag, maar is de impact na misbruik ook weer laag.
Axis into ICT adviseert om minimaal twee keer per jaar te patchen. Daarnaast is het verstandig om deze patchrondes van te voren in te plannen met behulp van een patchplan. Axis into ICT acht het niet noodzakelijk om van een dergelijk patchplan af te wijken. De ontwikkelingen rondom de CPU-kwetsbaarheden ‘Spectre’ en ‘Meltdown’ laten wederom zien dat het gevaarlijke tijden zijn in de IT-wereld. Mocht een patchplan niet aanwezig zijn, dan is dit een goed moment om er één te maken!