Security update Oracle Oktober 2020

Op 20 oktober 2020 heeft Oracle de laatste Critical Patch Update (CPU) van 2020 uitgebracht. Op deze manier stelt Oracle security patches beschikbaar voor haar producten. Dit is noodzakelijk om op een gestructureerde manier de in de Oracle software gevonden kwetsbaarheden, op te lossen.

Oracle database server

In de CPU van oktober worden 18 kwetsbaarheden gemeld, die in deze CPU voor de database worden opgelost.  De geïdentificeerde versies variëren van Oracle 11.2 tot en met Oracle 20. De meeste kwetsbaarheden die worden opgelost in de database zijn minder ernstig van aard. Echter, er zijn twee gemelde kwetsbaarheden met een CVSS score van 8.8.  Deze zitten in de Core en de Scheduler. Voor deze kwetsbaarheden geldt dat er eerst ingelogd moet worden voordat er misbruik van gemaakt kan worden.  Er zijn echter ook enkele  kwetsbaarheden die zonder autorisatie of remote misbruikt kunnen worden. Het valt op dat 7 kwetsbaarheden in de Application Express structuren worden gerapporteerd.
Gegeven de karakteristiek van de kwetsbaarheden is er voor de database geen reden af te wijken van het al gedefinieerde patch beleid.

Oracle Enterprise Manager en WebLogic server

Het aantal kwetsbaarheden gerelateerd aan Enterprise Manager en WebLogic is groter en zo ook het risico. De Enterprise Manager bevat 11 nieuwe kwetsbaarheden waarvan 10 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie, één van deze heeft een CVSS score van 9.1. Fusion Middleware, waar WebLogic Server onder valt, bevat 46 nieuwe kwetsbaarheden waarvan er 36 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie.  18 kwetsbaarheden zijn met een CVSS score 9.8 geclassificeerd.
Gegeven de impact van deze kwetsbaarheden is het advies Enterprise Manager en WebLogic Server direct te patchen.

Oracle MySQL

In deze patch worden 53 nieuwe kwetsbaarheden voor de database opgelost. Vier van de kwetsbaarheden kunnen misbruikt worden voor het verkrijgen van remote toegang zonder enige authenticatie. Waarvan er één met een CVSS score van 9.8. 
Gezien het grote aantal kwetsbaarheden wordt geadviseerd naar de laatste minor release te upgraden.

Elk patch advies bevat nieuwe kwetsbaarheden die in de software zijn gevonden, niet gepatchte software maakt het voor hackers extra makkelijk om data te stelen of te verminken. Reden genoeg om regelmatig te patchen. In een patchplan bepaal je o.a. hoe vaak per jaar er minimaal gepatcht wordt om te voorkomen dat het altijd een ad-hoc beslissing blijft. Advies nodig bij het opstellen van een patchplan? Neem gerust contact met ons op voor een vrijblijvend gesprek.

De CPU’s staan in 2021 gepland voor:

  • 19 januari 19 2021
  • 20 april 2021
  • 20 juli 2021
  • 19 oktober 2021

Verwijzingen:

Mocht je hulp nodig hebben of je hebt vragen n.a.v. dit artikel, laat het ons dan weten.

Scroll to Top