Af Torben B. Sørensen, 19/10/16
Kvartalsopdateringerne fra Oracle lukker 253 sikkerhedshuller i en lang række produkter. Java og MySQL er blandt de rettede produkter.
Opdateringen er den næststørste, siden Oracle begyndte at udsende kvartalsvise sikkerhedsopdateringer i 2011.
Sikkerhedsfirmaet ERPScan fremhæver rettelserne til Oracle E-Business Suite: 21 sårbarheder, hvoraf 11 regnes for alvorlige.
Der er syv rettelser til Java, hvoraf de fire har en CVSS-score (Common Vulnerability Scoring System) på over 8. Angribere kan udnytte alle sårbarhederne over netværket uden at være logget ind.
Fejlene i Java er rettet i Java 8 Update 111.
Der er 31 rettelser til sårbarheder i MySQL, hvoraf to kan udnyttes over netværk, uden at angriberen er logget ind. Den alvorligste sårbarhed har en CVSS-score på 7,5.
De fire alvorligste sårbarheder i kvartalsopdateringen har alle en CVSS-score på 9,8. De findes i Big Data Discovery, Oracle Web Services, WebLogic Server og Oracle Commerce Platform.
Anbefaling
Test og installer sikkerhedsrettelserne.
Links
Oracle Critical Patch Update Advisory - October 2016
Analyzing Oracle Security – Oracle Critical Patch Update October 2016, blogindlæg fra ERPScan
Oracle October 2016 Critical Patch Update, blogindlæg fra Qualys
Details for Oracle's October 2016 Critical Patch Update, David Litchfield