De voordelen van het hebben van drie lagen van beveiliging
Dr. Ronald Ross, computer wetenschapper en onderzoeker verbonden aan de National Institute of Standards and Technology, vertelt Tonya Hall over het belang van het testen van beveiliging en gelaagdheid cyber defense.
Oracle dringt bij de klanten te installeren April critical patch update om zichzelf te beschermen tegen aanvallers die zich richt op bedrijven die zich langzaam patch vaste exploits.
De April critical patch update bevat fixes voor 297 beveiligingslekken die van invloed Oracle Database Server, Fusion Middleware, Enterprise Manager, E-Business Suite, PeopleSoft en Siebel CRM.
Daar zijn ook oplossingen voor beveiligingsproblemen voor het bedrijf industrie toepassingen, Java, Oracle Virtualisatie, Oracle, MySQL, en de Zon Systems-producten.
Deze update is iets groter dan de januari-critical patch update, die gericht 284 gebreken in Oracle ‘ s enorme portfolio.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Oracle is het adviseren van klanten “van toepassing Critical Patch Update corrigeert zonder vertraging”, een waarschuwing dat er een bewijs is dat hackers zijn specifiek gericht op vaste exploits in de hoop dat bedrijven niet van gekomen om te patchen.
“Oracle blijft periodiek rapporten ontvangen van de pogingen om schadelijke bedoelingen van het uitbuiten van kwetsbaarheden voor die Oracle heeft al uitgebrachte correcties,” Oracle security advisory opmerkingen.
In dit laatste update zijn er vijf belangrijke gebreken die van invloed JavaSE en alle van hen “kan extern worden misbruikt zonder verificatie”, aldus Oracle.
De hoogste ernst JavaSE fout wordt bijgehouden als CVE-2019-2699 en is van invloed op Java SE: 8u202. Het beïnvloedt de Java-implementaties, zoals opdrachtgevers uitgevoerd sandbox in de Java Web Start-apps of een sandbox Java-applets uitvoeren van code van het internet. Oracle opmerkingen van de lek kan worden misbruikt door een web service die gegevens levert aan de Api ‘ s.
Daar zijn ook oplossingen voor 53 gebreken die van invloed Oracle Fusion Middleware, waarvan 42 kan worden benut op afstand-zonder dat de gebruiker referenties. Twaalf van de insecten hebben een prioriteitsniveau van 9,8 uit van een mogelijk 10.
Patches voor Oracle E-business suite-adres 35 gebreken, waarvan 33 op afstand worden benut, zonder dat de gebruiker referenties, terwijl de patches voor Oracle Communications-toepassingen adres 26 gebreken, waarvan 19 kan worden benut op afstand, geen wachtwoorden nodig.
Oracle MySQL ontvangen correcties voor 45 nieuwe beveiligingslekken. Vier van hen kan extern worden misbruikt zonder verificatie.
Onder de April 2019 patch update, 106 van de bugs gemeld Oracle door externe onderzoekers. Mateusz Jurczyk van Google Project Zero gerapporteerd twee van de vijf Java SE kwetsbaarheden, die worden bijgehouden als CVE-2019-2697, CVE-2019-2698.
ZIE: Tech budgetten 2019: EEN CXO ‘ s guide (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Project Zero is nu gepubliceerd proof-of-concept exploit code voor de twee Java SE gebreken, die werden gevonden tijdens fuzz testen van de software. Jurczyk opmerkingen waren ze allebei beschadiging van de heap gebreken beïnvloeden de Oracle Java Runtime-Omgeving versie 8u202.
Microsoft Vulnerability Research team ondertussen gemeld CVE-2019-2696, een lokaal misbruikt een beveiligingslek in Oracle VM VirtualBox, dat is één van de 15 gebreken die van invloed Oracle virtualisatie producten.
Zoals opgemerkt is deze maand door Oracle chief security officer Mary Ann Davidson, Oracle ‘ s eigen ethical hacking team (EHT) ook jaagt op bugs in de software met behulp van, onder andere, een fuzzing tool genaamd “SQL*Splat”, die vervormers SQL-code.
“De EHT-taak is om te proberen te breken onze producten en diensten voor de “echte” bad guys doen, en in het bijzonder om vast te leggen “grotere lessons learned” uit de resultaten van de EHT werk, dus we kunnen delen van deze waarnemingen (bijv. via een nieuwe codering standaard of een geautomatiseerde tool) over meerdere teams in ontwikkeling,” aldus Davidson.
Oracle ‘ s twee volgende critical patch updates worden gepland voor 16 juli en 15 oktober.
MEER OVER ORACLE EN BEVEILIGING
Oracle bezuinigingen taken als het probeert te vangen AWS in de cloud raceAlle Intel-chips open voor nieuwe Spoiler niet-Spectre-aanval: verwacht niet dat een snelle oplossingvan Oracle maakt een push voor de ‘adaptieve’ AI aan te pakken steeds complexere IT-problemenOracle bevestigt China Telecom, internet verkeer ‘geval’Haasten om patch? Hier is hoe te prioriteren uw veiligheid inspanningen (TechRepublic)Oracle beschuldigd van underpaying vrouwen, minderheden door $400 miljoen (CNET)
Verwante Onderwerpen:
Veiligheid
Enterprise Software
Cloud
Big Data Analytics
Opslag
Data Management