Oracle sikkerhed advarsel: Kunder fortalte at lappe ASAP til swat 297 fejl

0
23

Fordelene ved at have tre lag af sikkerhed
Dr. Ronald Ross, datalog og kolleger ved det Nationale Institut for Standarder og Teknologi, fortæller Tonya Hall om betydningen af test for sikkerhed og lagdeling cyber-forsvar.

Oracle, er at opfordre kunder til at installere sin April critical patch update til at beskytte sig selv mod angriberne, der er rettet mod virksomheder, der er langsomme til at lappe fast udnytter.

April kritisk patch opdatering indeholder rettelser til 297 sikkerhedshuller, der påvirker Oracle ‘ s Database-Server, Fusion Middleware, Enterprise Manager, E-Business Suite, PeopleSoft og Siebel CRM.

Der er også sikkerhedsrettelser til selskabets industri applikationer, Java SE, Oracle Virtualisering, Oracle, MySQL, og Sun Systems produkter.

Denne opdatering er lidt større end den januar critical patch update, som er rettet 284 fejl på tværs af Oracle ‘ s massive portefølje.

SE: EN vindende strategi for cybersikkerhed (ZDNet særlige rapport) | Download rapporten som PDF (TechRepublic)

Oracle er at rådgive kunderne til at “anvende Kritisk Patch Opdatering løser uden forsinkelse”, advarsel der er beviser for, at hackere er specifikt rettet mod faste udnytter i håb om virksomheder, der ikke har fået rundt for at lappe dem.

“Oracle fortsætter med at jævne modtage rapporter om forsøg på at ondskabsfuldt udnytter sårbarheder, som Oracle har allerede udgivet rettelser,” Oracle ‘ s security advisory noter.

I denne seneste opdatering, der er fem kritiske fejl, der påvirker JavaSE, og alle af dem “kan udnyttes eksternt, uden autentificering”, ifølge Oracle.

Den højeste sværhedsgrad JavaSE fejl er registreret som CVE-2019-2699 og påvirker Java SE: 8u202. Det påvirker Java-installationer, såsom klienter, der kører sandboxed i Java Web Start applikationer eller sandboxed Java-applets at køre kode fra internettet. Oracle bemærker fejl kan udnyttes via en web service, som leverer data til de Api ‘ er.

Der er også rettelser af 53 fejl, der påvirker Oracle Fusion Middleware, som 42 kan udnyttes på afstand uden at kræve brugerens legitimationsoplysninger. Tolv af de fejl, der er en severity rating på 9.8 ud af 10.
 
Patches til Oracle E-business suite-adresse 35 fejl, som 33 kan fjernudnyttes uden at kræve brugerens legitimationsoplysninger, mens de patches til Oracle Communications-applikationer adresse 26 fejl, hvoraf 19 kan udnyttes eksternt, ingen passwords behov.

Oracle MySQL modtaget rettelser til 45 nye sikkerhedshuller. Fire af dem kan udnyttes eksternt uden godkendelse.

Blandt de April 2019 patch update, 106 af de fejl, der blev rapporteret til Oracle af eksterne forskere. Mateusz Jurczyk af Google Project Zero rapporteret to af de fem Java SE sårbarheder, der er registreret som CVE-2019-2697, CVE-2019-2698.

SE: Tech budgetter 2019: EN CXO ‘ s guide (ZDNet særlige rapport) | Download rapporten som PDF (TechRepublic)

Project Zero har nu offentliggjort proof-of-concept exploit-kode for de to Java SE fejl, der blev fundet, mens fuzz test af software. Jurczyk noter, som de var begge bunke korruption fejl, der påvirker Oracle Java Runtime Environment version 8u202.

Microsoft ‘ s Sårbarhed Forskning team i mellemtiden rapporterede CVE-2019-2696, et lokalt udnyttelige fejl i Oracle VM VirtualBox, som var en af 15 fejl, der påvirker Oracle virtualiserings-produkter.

Som nævnt i denne måned af Oracle chief security officer, Mary Ann Davidson, Oracle ‘ s egne etiske hacking team (EHT) også jagt efter fejl i sin software ved hjælp af, blandt andre ting, en fuzzing værktøj kaldet “SQL*Splat”, som fuzz-pedaler SQL-kode.

“EHT opgave er at forsøge at bryde vores produkter og tjenester, før de “rigtige” bad guys gøre, og i særdeleshed til at fange “større” lessons learned” fra resultaterne af EHT arbejde, så vi kan dele disse observationer (fx via en ny kodning standard eller et automatiseret værktøj) på tværs af flere hold i udvikling,” forklarede Davidson.

Oracle ‘ s næste to kritisk patch opdateringer er planlagt til den 16. juli og 15. oktober.

MERE OM ORACLE OG SIKKERHED

Oracle nedskæringer job, som det forsøger at fange AWS i sky raceAlle Intel-chips åben for nye Spoiler ikke-Spectre angriber: forvent ikke et hurtigt fixOracle gør et fremstød for “adaptive” AI til at håndtere mere og mere komplekse IT-problemerOracle bekræfter, China Telecom, internet trafik ‘fejltagelser’Travlt med at lappe? Her er hvordan til at prioritere din sikkerhed indsats (TechRepublic)Oracle anklaget for underpaying kvinder, minoriteter med $400 millioner (CNET)

Relaterede Emner:

Sikkerhed

Virksomhedens Software

Cloud

Big Data Analytics

Opbevaring

Data Management