Security update Oracle oktober 2016

Op 18 oktober heeft Oracle zijn drie maandelijkse gebundelde security update uitgebracht. Voor de verschillende product families zijn verschillende patches aanwezig.

In het overzicht van de gefixte issues voor de database worden 11 issues genoemd. Één hiervan is specifiek voor APEX ( < 5.0.4.00.07 ). Dit is de enige melding waar geen specifieke database privileges voor nodig zijn. De andere vereisen minimaal het create session privilege. Van deze meldingen valt CVE-2016-5555 op de Oracle JVM op omdat deze met een hoge security base vector is geclassificeerd. Hiermee wordt dit als een serieuze zwakte geclassificeerd.

Op basis van deze informatie is het goed te overwegen deze CPU aan te brengen als je APEX gebruikt, zeker als deze van buiten de veilige omgeving bereikbaar is. Ook biedt de JVM wel reden om patchen te overwegen. Hier geldt echter ook als potentiële oplossing JVM uit de database te verwijderen als deze niet applicatief wordt gebruikt.

Onder de patch voor Oracle Fusion Middleware staan de veiligheidsissues van diverse producten. In het overzicht worden totaal 29 issues gemeld voor 15 verschillende producten. In deze analyse beperken we ons tot Oracle WebLogic. Voor de WebLogic server zijn er 6 meldingen waarvan de helft zonder voorafgaande authorisatie over HTTP misbruikt kunnen worden. Twee hebben hierbij bijna de maximale security score.

Op basis van de bovenstaande informatie is het essentieel WebLogic te patchen zodra deze directe aan de buitenwereld hangt. Zodra deze achter een firewall hangt moet een risico inschatting gemaakt worden van de eigen omgeving.

Ook voor Oracle Enterprise manager zijn enkele fixes aanwezig. Hiervan zijn er enkele ook zonder autorisatie bruikbaar. Maar er wordt vanuit gegaan dat OEM achter de firewall draait en er daardoor niet direct grote bedreigingen zijn. Mocht dit anders zijn lijkt patchen van OEM zinnig. Hierbij moeten ook de WebLogic patches meegenomen worden.

Ook al zitten er in deze Security patches geen issues die meteen aanleiding geven tot het aanbrengen van deze patch, dan nog is het verstandig regelmatig de laatste security fixes op uw omgeving aan te brengen. De volgende CPU komt uit op 17 januari 2017.

Scroll to Top