Security update Oracle juli 2017

Oracle brengt elk kwartaal een Critical Patch Update (CPU) uit waarin patches beschikbaar worden gesteld voor verschillende Oracle-producten. Op donderdagavond 18 juli is de derde CPU van 2017 uitgekomen en zoals gewoonlijk volgt direct daarop de analyse van Axis into ICT waarin de focus wordt gelegd op de security patches voor de database software en Weblogic.

Wat de database patch betreft is er één kwetsbaarheid gevonden in het OJVM-deel (java) die van Oracle een hoge ‘base score’ krijgt: een 9,9 voor Windows servers en een 8,8 voor linux servers. Hoewel de aanval eenvoudig uit te voeren is, heb je hier wel ‘create session’ en ‘create procedure’ rechten voor nodig. Kortom, een aanvaller heeft al toegang tot de database nodig om de kwetsbaarheid te kunnen misbruiken. De overige kwestbaarheden vereisen complexe handelingen om misbruikt te kunnen worden en vormen daarmee een minder groot risico.

Is java geinstalleerd in de database? Dan is het verstandig om patchen niet te lang uit te stellen, maar er is geen directe noodzaak om van een bestaand patchplan af te wijken.

Voor Weblogic Server geldt dat er negen kwetsbaarheden zijn gevonden waarvan de meeste kwetsbaarheden eenvoudig uit te buiten zijn zonder dat hiervoor authenticatie nodig is. De belangrijkste kwetsbaarheid krijgt van Oracle de hoogst mogelijke base score: 10. Dit zal mede te maken hebben met het feit dat de kwetsbaarheid in het veelgebruikte HTTP-protocol zit. Het advies luidt om Weblogic systemen zo snel mogelijk te patchen! Alleen wanneer de Weblogic Server installatie zeer goed beveiligd is door de netwerkinfrastructuur en enkel toegankelijk is voor bekende en betrouwbare mensen kan deze patch overgeslagen worden.

De volgende CPU komt uit op dinsdag 17 oktober 2017.

Scroll to Top