Oracle lukker 169 sikkerhedshuller

Artiklen blev oprindeligt publiceret den 21/1/2015

19 huller i Java bliver lukket sammen med 150 sårbarheder i andre produkter i Oracles sikkerhedsrettelser for januar kvartal.

Rettelserne er fordelt på disse produkter:

• 8 til Oracle Database Server
• 36 til Oracle Fusion Middleware
• 10 til Oracle Enterprise Manager Grid Control
• 10 til Oracle E-Business Suite
• 6 til Oracle Supply Chain Products Suite
• 7 til Oracle PeopleSoft Products
• 1 til Oracle JD Edwards Products
• 17 til Oracle Siebel CRM
• 2 til Oracle iLearning
• 2 til Oracle Communications Applications
• 1 til Oracle Retail Applications
• 1 til Oracle Health Sciences Applications
• 19 til Oracle Java SE
• 29 til Oracle Sun Systems Products Suite
• 11 til Oracle Linux and Virtualization
• 9 til Oracle MySQL

Fire af rettelserne til Java har fået den højeste risikovurdering med en CVSS-score (Common Vulnerability Scoring System) på 10. Ud af de 19 sårbarheder findes de 15 kun på klient-versionen, to både på klient og server, og to udelukkende i JSSE.

Samtidig sker der en ændring i Javas behandling af SSL (Secure Sockets Layer). Nu bliver SSL v3 som standard slået fra. Det sker for at undgå POODLE-angreb (Padding Oracle On Downgraded Legacy Encryption).

Den alvorligste sårbarhed i Sun Systems Products ligger i XCP Firmware. Oracle gør opmærksom på, at de fremover ikke på systematisk vis vil rette fejl i Solaris 8 og 9.

En sårbarhed i Oracle Database gør det muligt for en registreret bruger at få privilegier som databaseadministrator. Det sker via et hul i indekseringsfunktionen.

Anbefaling
Test og installer alle de relevante sikkerhedsrettelser fra Oracle.

Links

• January 2015 Critical Patch Update Released, blogindlæg fra Oracle
• Oracle Critical Patch Update Advisory - January 2015
• Privilege Escalation via Oracle Indexes, artikel af David Litchfield (PDF-format)