Security update Oracle Juli 2020

Op 14 juli 2020 heeft Oracle de derde Critical Patch Update (CPU) van 2020 uitgebracht. In deze CPU stelt Oracle patches beschikbaar voor verschillende van haar producten. Dit is noodzakelijk omdat er vaak ernstige kwetsbaarheden in de software gevonden worden.

Oracle database server:

In de CPU van juli worden 19 kwetsbaarheden voor de database opgelost. De kwetsbaarheden die worden opgelost met betrekking tot de database zijn minder ernstig van aard. Voor deze kwetsbaarheden geldt dat er eerst ingelogd dient te worden voordat er misbruik van gemaakt kan worden of kan niet remote worden toegepast. Met uitzondering van de Workload Manager, deze is remote te misbruiken, maar complex in de uitvoering. Twee componenten scoren een CVSS van 8 of hoger. Dit zijn MapViewer en Java VM. Deze worden niet default geïnstalleerd. Gegeven de impact van de kwetsbaarheden is er voor de database geen reden af te wijken van het al gedefinieerde patch beleid.

Oracle Enterprise Manager en Weblogic server:

Het aantal kwetsbaarheden gerelateerd aan Enterprise Manager en Weblogic is groter en zo ook het risico. De Enterprise Manager bevat 14 nieuwe kwetsbaarheden waarvan 10 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie en drie van deze tien hebben een CVSS score van resp. 9.1 en tweemaal een 9.8. Weblogic Server bevat 52 nieuwe kwetsbaarheden waarvan er 48 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie. Gegeven de impact van deze kwetsbaarheden is het advies Enterprise Manager en Weblogic Server direct te patchen.

Oracle MySQL:

In deze patch worden 40 nieuwe kwetsbaarheden voor de database opgelost. Zes van de kwetsbaarheden kunnen misbruikt worden voor het verkrijgen van remote toegang zonder enige authenticatie. Waarvan er één met een CVSS score van 9.8.

Elk patch advies bevat nieuwe kwetsbaarheden die in de software zijn gevonden. Niet gepatchte software maakt het voor hackers extra makkelijk om data te stelen of te verminken. Reden genoeg om regelmatig te patchen. In een patchplan bepaal je o.a. hoe vaak per jaar er minimaal gepatcht wordt om te voorkomen dat het altijd een ad-hoc beslissing blijft. Advies nodig bij het opstellen van een patchplan? Neem dan gerust contact met ons op voor een vrijblijvend gesprek.

Data nog geplande CPU’s voor 2020:

  • 20 oktober 2020

Mocht je hulp nodig hebben of je hebt vragen n.a.v. dit artikel, laat het ons dan weten.

Scroll to Top