Fördelarna med att ha tre lager av säkerhet
Dr. Ronald Ross, datavetare och kolleger vid National Institute of Standards and Technology, berättar Tonya Hall om vikten av att testa säkerheten och skiktning cyber försvar.
Oracle uppmanar sina kunder att installera April kritisk patch för att skydda sig mot angripare som är inriktade på företag som är långsamma för att lappa fast bedrifter.
April kritisk patch uppdateringen innehåller korrigeringar för 297 säkerheten brister som påverkar Oracles Databas-Server, Fusion Middleware, Enterprise Manager, E-Business Suite, PeopleSoft, Siebel CRM.
Det finns också korrigeringar för bolagets industriella applikationer, Java SE, Oracle Virtualisering, Oracle, MySQL, och Sun-System-produkter.
Den här uppdateringen är något större än den januari kritiska patch, som riktar sig 284 brister inom Oracles massiv portfölj.
SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)
Oracle är rådgivning till kunder för att “tillämpa Kritisk Patch Uppdateringen åtgärdas utan dröjsmål”, varning det finns bevis för att hackare speciellt riktade fast bedrifter i de hoppas att företag kommer inte kommit mig för att lappa dem.
“Oracle fortsätter att regelbundet få rapporter om försök till uppsåtligt utnyttja sårbarheter som Oracle har redan utgivna korrigeringar,” Oracle-säkerhetsmeddelande anteckningar.
I den senaste uppdateringen finns fem kritiska brister som påverkar JavaSE och alla av dem “kan vara fjärrbasis utan autentisering”, enligt Oracle.
Den högsta svårighetsgraden JavaSE fel spåras som CVE-2019-2699 och påverkar Java SE: 8u202. Det påverkar Java-installationer, såsom klienter som körs i sandlådan i Java Web Start program eller sandlåda Java applets för att köra kod från internet. Oracle konstaterar felet kan utnyttjas via en webb-tjänst som levererar data till Api: er.
Det finns också fixar för 53 brister påverkar Oracle Fusion Middleware, varav 42 kan utnyttjas på distans utan krav på användarens autentiseringsuppgifter. Tolv av de buggar som har en risknivå 9.8 av 10 möjliga.
Patchar för Oracle E-business suite adress 35 brister, varav 33 kan utnyttjas på distans utan att användaren behöver referenser, medan patchar för Oracle Communications-applikationer adress 26 brister, varav 19 kan utnyttjas på distans, inga lösenord behövs.
Oracle MySQL fått korrigeringar för 45 nya säkerhetsbrister. Fyra av dem kan vara fjärrbasis utan autentisering.
Bland de April 2019 patch, 106 av de buggar som har rapporterats till Oracle med externa forskare. Mateusz Jurczyk av Google Project Zero rapporterade två av de fem Java SE sårbarheter, som spåras som CVE-2019-2697, CVE-2019-2698.
SE: Teknisk budgetar 2019: EN CXO ‘ s guide (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)
Project Zero har nu publicerat proof-of-concept utnyttja koden för de två Java SE brister, som konstaterades samtidigt fuzz testning. Jurczyk noterar att de var både hög korruption brister som påverkar Oracle Java Runtime Environment version 8u202.
Microsofts Sårbarhet team samtidigt rapporterade CVE-2019-2696, ett lokalt utnyttjas fel i Oracle VM VirtualBox, som var en av 15 brister påverkar Oracle virtualisering produkter.
Som nämnts denna månad av Oracle chief security officer Mary Ann Davidson, Oracle egen etisk hacking team (EHT) jagar också för buggar i programvaran med hjälp av, bland annat, en bråkat verktyg som heter “SQL*Splat”, som fuzzes SQL-kod.
“Den EHT: s uppgift är att försök att bryta våra produkter och tjänster innan de “riktiga” bad guys gör, och framför allt för att fånga “större lessons learned” från resultaten av EHT: s arbete, så att vi kan dela med oss av dessa observationer (t ex genom en ny kodning eller ett automatiserat verktyg) över flera lag i utveckling”, säger Davidson.
Oracles kommande två kritisk patch uppdateringar är planerad till den 16 juli och 15 oktober.
MER OM ORACLE OCH SÄKERHET
Oracle nedskärningar jobb som det försöker fånga AWS i moln rasAlla Intel marker öppna för nya Spoiler icke-Spectre attack: förvänta dig inte en quick fixOracle gör en push för “adaptive’ AI för att hantera alltmer komplexa IT-problemOracle bekräftar China Telecom internet-trafik “vilseledande’Rusa till patch? Här är hur man prioriterar din säkerhet insatser (TechRepublic)Oracle anklagas för underpaying kvinnor, minoriteter av $400 miljoner (CNET)
Relaterade Ämnen:
Säkerhet
Affärssystem
Cloud
Big Data Analytics
Förvaring
Hantering Av Data