Tucatjával érkeznek az Oracle hibajavítások

A múlt héten a Microsoft és az Adobe is menetrendszerűen tette elérhetővé az idei év első hibajavításait. A frissítési dömping azonban a két cég foltozgatásával korántsem ért véget, hiszen az Oracle is bejelentette, hogy - a korábbi terveinek megfelelően - január 17-én letölthetővé fogja tenni a különböző szoftvereiben utóbbi időszakban felfedezett sérülékenységek orvoslására alkalmas patch-eket.

78 hibajavítás

Az Oracle előzetes közleménye szerint sok hibától lehet majd megszabadítani a szoftvereit a kedden megjelenő frissítéseknek köszönhetően, hiszen összesen 78 darab sebezhetőség megszüntetésére készülnek a fejlesztők. A biztonsági rések érintik többek között az Oracle Database, a MySQL, a Sun Solaris, a Fusion Middleware, az E-Business, a Supply Chain, a PeopleSoft valamint a JD Edwards megoldásokat is. Vagyis - az Oracle-től megszokott módon - ezúttal is egy átfogó hibajavításra van kilátás.

A cég felhívta a figyelmet arra, hogy a hibajavítások kritikus veszélyességű sérülékenységeket is orvosolnak, amelyek akár távoli károkozásokra, kódfuttatásokra is lehetőséget adhatnak, esetenként még akkor is, ha a támadók nem ismernek érvényes felhasználónevet és jelszót a célkeresztbe állított rendszerekhez való hitelesítéshez. Az Oracle a sebezhetőségek veszélyességi besorolását a CVSS (Common Vulnerability Scoring System) 2.0 alapján végzi. Ezúttal a legjelentősebb kockázatot rejtő hiba pontszáma 7,8-re adódott, és a Solaris kapcsán merült fel.

Egyre kevesebb a javítás az adatbázisokhoz

Az adatbázisok biztonsági kérdései évről-évre egyre égetőbbé válnak. Eközben az Oracle a Database termékcsaládhoz tartozó termékeihez mind kevesebb biztonsági hibajavítást tesz elérhetővé. 2011-ben összesen 34 patch-et adott ki az adatbázis-kezelőjéhez, míg a mostani 78 megszüntetésre váró hiba közül mindössze kettő tartozik a Database termékcsaládhoz. Alex Rothacker, az Application Security TeamSHATTER biztonsági kutatásokért felelős igazgatója szerint, ahogy az Oracle egyre szélesebb portfólióval van jelen a piacon, a hibajavítások tekintetében úgy kerülnek ki a figyelem középpontjából a Database termékek. 2005 óta most fog megjelenni a legkevesebb javítás a cég adatbázis-kezelőjéhez. Ugyanakkor ezeket a frissítéseket sem lesz célszerű félvállról venni, ugyanis az egyik befoltozandó biztonsági rés hitelesítés nélküli hozzáférést biztosíthat a támadók számára az érintett adatbázisokhoz.

Az adatbázis-kezelők javításával kapcsolatos trendekhez hozzátartozik, hogy miközben az Oracle Database megoldások egyre kevesebb foltot kapnak, addig a MySQL patch-ek száma szépen gyarapodik, amihez ezúttal nem kevesebb mint 27 javítás fog elérhetővé válni.

DoS-sebezhetőség

A Microsoft még a múlt év végén az ASP.NET kapcsán megszüntetett egy olyan sebezhetőséget, amely szolgáltatásmegtagadási támadásokra adhatott lehetőséget. Azonban ez a sérülékenység nemcsak az ASP.NET-tel összefüggésben merült fel, hanem többek között az Oracle GlassFish esetében is jelen van. Noha az Oracle ebből a szempontból szűkszavúan nyilatkozott, elképzelhető, hogy kedden a GlassFish is megkapja azt a javítást, amellyel ez a DoS-hiba orvosolhatóvá válik.

Az Oracle azt tanácsolta, hogy a patch-ek megjelenését követően minden ügyfele a lehetőségekhez mérten a lehető leghamarabb telepítse fel a frissítéseket.