giovedì 16 luglio 2015

Oracle, aggiornamento critico trimestrale: bloccate 193 vulnerabilità


In occasione del tradizionale Patch day mensile di luglio, Microsoft ha rilasciato 14 aggiornamenti per risolvere 59 vulnerabilità che affliggono diversi suoi prodotti, tra cui Internet Explorer. Adobe ha rilasciato le patch per il suo software Flash che fissano un paio di vulnerabilità di sicurezza critiche esposte dal mega breach di Hacking Team. Facebook e Mozilla hanno criticato il plugin per i gravi problemi di sicurezza. Allo stesso tempo, Oracle ha reso disponibile il pacchetto di aggiornamenti critici del terzo trimestre dell'anno. La società ha rilasciato correzioni per chiudere un toatle di 193 falle, che sono molte di più rispetto a quelle chiuse ad aprile.

L'aggiornamento critico di patch di luglio, ovvero Critical Patch Update, fornisce correzioni per 193 nuove vulnerabilità di sicurezza in una vasta gamma di famiglie di prodotti, tra cui: Oracle Database, Oracle Fusion Middleware, Oracle Hyperion, Oracle Enterprise Manager, Oracle E-Business Suite, Oracle Supply Chain Suite, Oracle PeopleSoft Enterprise , Oracle Siebel CRM, Oracle Applications, Oracle Communications Java SE, Oracle Sun Systems Products Suite, Oracle Linux e virtualizzazione, e Oracle MySQL. Di queste 193 correzioni, quarantaquattro sono per i componenti di terze parti inclusi nei prodotti di Oracle (ad esempio, Qemu, Glibc, ecc.). 

Questo aggiornamento critico di patch fornisce dieci correzioni per il database Oracle, e due delle vulnerabilità fissate nel database sono sfruttabili da remoto senza autenticazione. La più grave di queste vulnerabilità del database ha ricevuto un punteggio CVSS base di 9,0 per la piattaforma Windows e 6.5 per le piattaforme Linux e Unix. Tale vulnerabilità, identificata come CVE-2015-2629, riflette la disponibilità di nuove correzioni Java per Java VM nel database. Con questo CPU Oracle Fusion Middleware riceve trentanove nuovi aggiornamenti di sicurezza, trntasei delle quali sono per le vulnerabilità che sono sfruttabili da remoto senza autenticazione. 

Il punteggio CVSS base più alto per queste vulnerabilità in Fusion Middleware è 7.5. Con questo aggiornamento, Oracle E-Business Suite ottiene 13 correzioni, Oracle Supply Chain Suite ne ottiene sette, PeopleSoft Enterprise ne ottiene otto, e Siebel ottiene cinque correzioni. A completare questa lista ci sono due correzioni per Oracle Platform Commerce. Le applicazioni Oracle Communications ricevono due nuovi aggiornamenti di sicurezza. Il punteggio CVSS base più alto per queste vulnerabilità è 10.0, e riguarda la vulnerabilità identificata come CVE-2015-0235, che colpisce Glibc, un componente utilizzato in Oracle Communications Session Border Controller. 

Oracle sottolinea che questa stessa vulnerabilità Glibc è indirizzata anche a un certo numero di prodotti Oracle Sun Systems. Inoltre, venticinque correzioni riguardano Oracle Java SE e ventitrè di queste vulnerabilità Java SE sono sfruttabili da remoto senza autenticazione. 16 di queste correzioni Java SE sono per Java solo client, tra cui uno fissato per l'installazione del client di Java SE. Cinque delle correzioni Java sono per client e distribuzione server. Una soluzione è specifica per la piattaforma Mac e quattro patch sono per JSSE client e implementazioni server. Risolta anche una vulnerabilità 0-day (CVE -2015-2590) che veniva attivamente sfruttata in natura.

25 vulnerabilità vengono risolte in Oracle Berkeley DB, e nessuna di queste vulnerabilità sono sfruttabili da remoto senza autenticazione. Il punteggio più alto CVSS base riportato per queste vulnerabilità è 6.9. Oracle fa notare che il 15 maggio 2015, l'azienda ha rilasciato un avviso di protezione per CVE-2015-3456. I clienti dei prodotti Oracle interessati sono pertanto invitati ad applicare le correzioni e/o le operazioni di configurazione che sono stati annunciati per tale vulnerabilità.  I dettagli su come gli utenti possono ottenere le patch per i singoli prodotti possono essere trovati in Oracle. L'ultima patch critica di aggiornamento nel 2015 è prevista per il 20 ottobre



Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...