Security update Oracle oktober 2019

De vierde en laatste Critical Patch Update (CPU) van 2019 is door Oracle op 15 oktober vrijgegeven. Met deze driemaandelijks patchronde brengt Oracle security patches uit voor veel van haar producten. Axis into ICT analyseert deze CPU’s op het gebied van database en Enterprise Manager en destilleert uit de door Oracle verstrekte informatie de noodzaak om te patchen.

Het algemene advies van Axis into ICT is regelmatig te (blijven) patchen op basis van een eigen patchbeleid. Een vast patchritme heeft de voorkeur boven het ad-hoc maken van keuzes. Dit advies blijft staan. In de zaken die in deze CPU geadresseerd worden zitten geen lekken met een extreem hoge Common Vulnerability Scoring System (CVSS) score. Dit betekent dat gebruik van dit lek complex is en of er al vooraf authorisatie nodig is.
Hierdoor is het niet noodzakelijk af te wijken van het bestaande patchritmes.

Na analyse van de Enterprise Manager gerelateerde producten valt op dat vrijwel elke patchronde meerdere kritieke beveiligingsproblemen worden opgelost. Het is daarom raadzaam om ook Enterprise Manager installaties regelmatig te patchen en de installatie op het netwerk goed af te schermen van andere systemen. Geef alleen mensen en systemen toegang die dit echt nodig hebben. Als deze keer naar de lekken wordt gekeken zit er weer een bij met een CVSS score van 9.8. Dit rechtvaardigt zeker een patchronde.

Als ook de patches voor WebLogic meegenomen worden in de analyse moet er gekeken worden naar de Fusion Middleware lekken. Onder Fusion Middleware vallen vele producten en daar door zijn er altijd wel enkele die patches vereisen. Als er alleen naar WebLogic Server wordt gekeken is de hoogste score een 8.1. Als alleen WebLogic Server wordt gebruikt is de inschatting dat het niet noodzakelijk is af te wijken van het voor gedefinieerde patch ritme . Zijn er meerdere producten uit de Fusion stack dan is er een nadere analyse nodig.

De volgende CPU komt uit op 14 januari 2020.

Scroll to Top