Op 16 oktober heeft Oracle de patches beschikbaar gesteld die volgens het CPU-programma ieder kwartaal uitkomen. Een overzicht van alle fixes is hier beschikbaar. Axis into ICT moedigt haar klanten aan regelmatig de security patches te installeren als onderdeel van een security beleid.
Op het gebied van de Database bevat de oktober patch drie fixes voor alle releases (11.2.0.4 t/m 18c). Twee hiervan -één in Oracle JVM en één in Oracle Text- zijn zonder externe autorisatie uit te voeren. De in JVM geconstateerde kwetsbaarheid heeft een zeer hoge score gekregen. De vulnerability in Oracle Text is iets minder urgent.
Op basis van de gerapporteerde kwetsbaarheden adviseren wij deze fix aan te brengen.
In het geval dat er geen JAVA en Text in de databases aanwezig zijn kan afgezien worden van de patches.
Op het gebied van WebLogic Server rapporteert Oracle tien vulnerabilities in verscheidene sub-componenten. Hiervan zitten er vijf in de ‘core’ en zijn zonder autorisatie vooraf te gebruiken en krijgen mede daardoor een hoge score. Dit is voor ons reden te adviseren deze fix aan te brengen.
Over het Oracle Enterprise Manager Framework wordt slechts één relevant issue gemeld. De score voor deze melding is relatief laag. Hiermee is het patchen van EM niet urgent. Voor de Fusion Middleware (Weblogic) en database componenten gelden de richtlijnen van desbetreffende productlijn.
Samenvattend geldt dat het sterk aanbevolen is de oktober patch voor de database en WebLogic toe te passen. De volgende Critical Patch Update komt uit op 15 January 2019.H