Nieuws
image

Oracle verhelpt tijdens patchronde 419 kwetsbaarheden in veel producten

woensdag 20 oktober 2021, 10:14 door Redactie, 3 reacties

Oracle heeft tijdens de laatste patchronde van 2021 in totaal 419 kwetsbaarheden in een groot aantal producten verholpen. Het gaat om één van de grootste "Critical Patch Updates" in de geschiedenis van het bedrijf. In tegenstelling tot bedrijven zoals Adobe en Microsoft komt Oracle ééns per kwartaal met beveiligingsupdates wat het grote aantal opgeloste kwetsbaarheden mede verklaart.

De meeste beveiligingslekken dit kwartaal zijn verholpen in Oracle Communications (71), Oracle MySQL (66) Oracle Financial Services-applicaties (44) en Oracle Fusion Middleware (38). 230 van de 419 kwetsbaarheden zijn volgens Oracle op afstand door een niet-geauthenticeerde aanvaller te misbruiken.

Via het Common Vulnerability Scoring System (CVSS) kan de ernst van kwetsbaarheden op een schaal van 1 tot en met 10 worden beoordeeld. 28 kwetsbaarheden werden met een 9,8 beoordeeld, twee met een 9,9 en één beveiligingslek in Oracle Essbase scoort zelfs een 10. Twee van de beveiligingslekken met een 9,8 bevinden zich in Oracle WebLogic Server. Kwetsbaarheden in deze software zijn vaak kort na het uitkomen van de beveiligingsupdates aangevallen.

Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gecompromitteerd omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Organisaties en beheerders krijgen dan ook het advies om de updates van de Critical Patch Update zonder enige vertraging te installeren en ondersteunde versies van de software te blijven gebruiken. De volgende patchronde van Oracle staat gepland voor 18 januari 2022.

Reacties (3)
20-10-2021, 11:00 door Anoniem
Alles op 1 grote hoop per kwartaal, of net als bij MS eens per maand een handjevol fixes.

Het laatste heeft toch mijn voorkeur, ondanks het ongemak. Als er een nieuwe bug wordt geïntroduceerd, is de kans groot dat deze een maand later is opgelost, i.p.v.. een vol kwartaal wachten.
Maar er zullen ongetwijfeld mensen zijn die ook maandelijks patchen te lang vinden duren.
20-10-2021, 11:11 door Bitje-scheef
Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gecompromitteerd omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Organisaties en beheerders krijgen dan ook het advies om de updates van de Critical Patch Update zonder enige vertraging te installeren en ondersteunde versies van de software te blijven gebruiken. De volgende patchronde van Oracle staat gepland voor 18 januari 2022.

Oracle mag in het rijtje staan bij MS... K-U-T (Kwalitatief Uitermate Teleurstellend)
20-10-2021, 21:32 door Anoniem
De volgende patchronde van Oracle staat gepland voor 18 januari 2022.

Met andere woorden: als er tussentijds lekken ontstaan mag je wachten totdat Oracle dat gaat fixen over 2 maanden? Dan reist bij mij de vraag: als je producten tussentijds worden aangevallen, en er is schade ontstaan, mag je je claim dan bij Oracle neerleggen?

Het is toch van den zotte? Een patch moet gefixt worden zo snel als kan nádat deze ontdekt is. Het is inderdaad net Microsoft, waar je ook afhankelijk bent van periodieke patchrondes. Lekker hoor, die propriëtaire software.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search