Op 15 januari 2019 heeft Oracle de eerste Critical Patch Update (CPU) van het nieuwe jaar uitgebracht. In deze CPU stelt Oracle patches beschikbaar voor verschillende van haar producten. Dit is noodzakelijk omdat er vaak ernstige kwetsbaarheden in de software gevonden worden. Niet gepatchte software maakt het voor hackers extra makkelijk om data te stelen of te verminken. Reden genoeg om regelmatig te patchen dus! Veel organisaties bepalen in een patchplan hoe vaak per jaar er gepatcht wordt om te voorkomen dat het altijd een ad-hoc beslissing blijft. Heeft u al nagedacht over een patchplan?
De kwetsbaarheden die opgelost worden in de CPU van januari zijn minder ernstig van aard dan we de laatste tijd gewend zijn. Voor alle kwetsbaarheden geldt dat er eerst ingelogd dient te worden voordat er misbruik van gemaakt kan worden. Dit verkleint het risico al naar mensen en systemen die al toegang hebben tot de database. Schrijft uw patchplan voor dat deze patch niet uitgevoerd hoeft te worden, dan is er nu geen reden om af te wijken van het patchplan. Op het gebied van databases valt het deze keer gelukkig mee.
Enterprise Manager wijkt helaas minder af van de trend dan Database. Deze keer zijn er negen kwetsbaarheden gevonden waarvoor geen authenticatie nodig is voordat ze misbruikt kunnen worden. Onze ervaring leert dat een niet of niet-recent gepatchte Enterprise Manager zo lek is als een mandje! Ditzelfde geldt overigens voor Oracle Fusion Middleware. Wat dat betreft blijft het advies om te patchen staan en mijn vermoeden is dat dit advies voorlopig niet zal veranderen.
De volgende CPU van 2019 komt uit op 16 april 2019