Nieuws
image

Oracle rolt tijdens patchronde 387 beveiligingsupdates uit: meteen installeren

woensdag 18 oktober 2023, 11:38 door Redactie, 4 reacties

Tijdens de patchronde van oktober heeft Oracle 387 beveiligingsupdates voor een groot aantal producten uitgebracht en het softwarebedrijf roept klanten op om die 'zonder vertraging' te installeren. De 387 patches zijn niet voor individuele kwetsbaarheden. Sommige van de beveiligingslekken bevinden zich in meerdere producten waarvoor Oracle aparte patches uitbrengt, wat het grote aantal updates verklaart.

De meeste patches, 103 in totaal, verschenen voor producten in de categorie financiële dienstenapplicaties. Het gaat dan bijvoorbeeld om Oracle Banking en Oracle Financial Services. Verder zijn 91 updates voor Oracle Communications beschikbaar gemaakt. De impact van één van de kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Daarnaast zijn er meerdere beveiligingslekken verholpen met een impactscore van 9.8, wat inhoudt dat aanvallers systemen op afstand volledig kunnen overnemen.

Het gaat onder andere om kwetsbaarheden in Oracle WebLogic Server (CVE-2022-42920, CVE-2022-29599, CVE-2023-22069, CVE-2023-22072 en CVE-2023-22089). Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. In het verleden zijn kwetsbaarheden in de software vaker het doelwit van aanvallen geweest. Zo waarschuwde de Amerikaanse overheid afgelopen mei nog voor actief misbruik van een kwetsbaarheid in WebLogic.

Oracle zegt dat het berichten blijft ontvangen van aanvallen waarbij er misbruik wordt gemaakt van kwetsbaarheden waarvoor het al beveiligingsupdates heeft uitgebracht. Sommige van de aanvallen waren ook succesvol omdat klanten hadden nagelaten de patches te installeren, aldus het softwarebedrijf. Oracle roept organisaties dan ook op om de nu beschikbaar gestelde updates meteen te installeren.

In tegenstelling tot bijvoorbeeld Adobe of Microsoft komt Oracle niet elke maand maar elk kwartaal met updates. De volgende patchronde staat gepland voor 16 januari 2024.

Reacties (4)
Reageer met quote
18-10-2023, 12:04 door Anoniem
Oracle zegt dat het berichten blijft ontvangen van aanvallen waarbij er misbruik wordt gemaakt van kwetsbaarheden waarvoor het al beveiligingsupdates heeft uitgebracht. Sommige van de aanvallen waren ook succesvol omdat klanten hadden nagelaten de patches te installeren, aldus het softwarebedrijf. Oracle roept organisaties dan ook op om de nu beschikbaar gestelde updates meteen te installeren.
Het beste beveiligingsbeleid is om patches meteen te installeren en niet te wachten totdat je wordt aangevallen. Mijn machines zijn daarom nooit gecompromitteerd en ik wil het graag zou houden.
Reageer met quote
18-10-2023, 14:13 door Anoniem
Door Anoniem:
Oracle zegt dat het berichten blijft ontvangen van aanvallen waarbij er misbruik wordt gemaakt van kwetsbaarheden waarvoor het al beveiligingsupdates heeft uitgebracht. Sommige van de aanvallen waren ook succesvol omdat klanten hadden nagelaten de patches te installeren, aldus het softwarebedrijf. Oracle roept organisaties dan ook op om de nu beschikbaar gestelde updates meteen te installeren.
Het beste beveiligingsbeleid is om patches meteen te installeren en niet te wachten totdat je wordt aangevallen. Mijn machines zijn daarom nooit gecompromitteerd en ik wil het graag zou houden.

Maar hoe vaak is je productie omgevallen?
Reageer met quote
18-10-2023, 14:30 door Anoniem
Het beste beveiligingsbeleid is om patches meteen te installeren en niet te wachten totdat je wordt aangevallen. Mijn machines zijn daarom nooit gecompromitteerd en ik wil het graag zou houden.
Dat is helaas niet alleen aan jou. Als bedrijven patchrondes hebben in plaats van dat ze deze meteen, of in ieder geval zo snel als mogelijk aan te bieden ná constatering van het beveilgingsprobleem, dan blijft er toch nog een aanzienlijke tijd dat je systeem ongepatcht is. Ik vind dat persoonlijk erg kwalijk.

De systemen die ik draai geven vrijwel meteen na het bekend maken van een kwetsbaarheid een patch vrij, waardoor de gebruiker zo kort als mogelijk kwetsbaar blijft. Maar eens in de drie maanden (of zelf maar één keer in de maand) patches vrijgeven vind ik onverantwoord. Het moet zijn: beveiligingspleister beschikbaar? Meteen de lucht in om de kwetsbaarheid te fixen. Zó hoort het. Gelukkig zijn er systemen die zo werken.
Reageer met quote
19-10-2023, 09:20 door Benito Herrera
Door Anoniem: De systemen die ik draai geven vrijwel meteen na het bekend maken van een kwetsbaarheid een patch vrij, waardoor de gebruiker zo kort als mogelijk kwetsbaar blijft. Maar eens in de drie maanden (of zelf maar één keer in de maand) patches vrijgeven vind ik onverantwoord. Het moet zijn: beveiligingspleister beschikbaar? Meteen de lucht in om de kwetsbaarheid te fixen. Zó hoort het. Gelukkig zijn er systemen die zo werken.

In de regel niet bij propriëtaire software omdat men zich denkt te kunnen verstoppen achter het niet publiekelijk inzichtelijk zijn van de broncode. Dat is sowieso een achterhaalde gedachte en heb je ooit een decompilatieprogramma gedraaid op met Java of .NET gemaakte software? Alleen de commentaren ontbreken. Ik vind patchrondes werkelijk schandalig want de systemen van gebruikers zijn onnodig lang kwetsbaar en die verhaaltjes van het moet worden ingepland duiden op starre, inflexibele processen bij de IT-afdelingen van gebruikers.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search