Oracle

Årets sidste kvartalsvise sikkerhedsopdatering fra Oracle lukker 252 sikkerhedshuller. 155 af dem findes i Oracle Applications.

De alvorligste findes i Oracle Hospitality Reporting and Analytics, hvor to sårbarheder har fået en CVSS-score (Common Vulnerability Scoring System) på de maksimale 10. Samme score har en sårbarhed i Siebel Apps – Field Service fået.

Opdateringen lukker 22 sikkerhedshuller i Java SE. 20 af dem kan udnyttes over netværk af en angriber uden autentifikation. Den alvorligste har en CVSS-score på 9,6.

Dermed er det den hidtil mest omfattende samling rettelser, siden Oracle begyndte at udsende kvartalsvise rettelser i form af Critical Patch Updates.

165 af sårbarhederne kan udnyttes af udefrakommende angribere.

120 sårbarheder findes i Oracle E-Business Suite.

Der er 17 rettelser til Java, heraf tre kritiske. Fejlene er rettet i Java 8 Update 141.

MySQL har fået 30 rettelser, hvoraf de tre lukker kritiske huller.

Rettelserne blev udsendt den 18. juli.

Anbefaling

Test og installer opdateringerne.

MySQL tegner sig for 13 procent af rettelserne i april kvartals sikkerhedsrettelser fra Oracle. 11 af de 39 sårbarheder i MySQL kan udnyttes over nettet, uden at angriberen har en konto på systemet.

37 procent af rettelserne er til Oracles brancheløsninger og til Fusion Middleware. De fleste af dem kan udnyttes over netværk uden en brugerkonto.

25 af rettelserne lukker huller relateret til en kendt sårbarhed i Apache Struts.

Der er otte rettelser til Java SE, hvoraf de syv kan udnyttes over netværk uden en brugerkonto. Fejlene er rettet i Java 8 Update 131.

Der er 17 sikkerhedsrettelser til Java. 16 af sårbarhederne kan udnyttes over netværk af en ikke-autentificeret bruger.

MySQL får 27 rettelser, hvoraf fem kan udnyttes af udefrakommende angribere.

Over 100 af rettelserne er til sårbarheder i Oracle E-Business Suite.

I alt er der 16 kritiske sårbarheder i kvartalets rettelser. En af dem har fået den højeste mulige CVSS-score (Common Vulnerability Scoring System) på 10.

Anbefaling

Test og installer sikkerhedsopdateringerne fra Oracle.

Kvartalsopdateringerne fra Oracle lukker 253 sikkerhedshuller i en lang række produkter. Java og MySQL er blandt de rettede produkter.

Opdateringen er den næststørste, siden Oracle begyndte at udsende kvartalsvise sikkerhedsopdateringer i 2011.

Sikkerhedsfirmaet ERPScan fremhæver rettelserne til Oracle E-Business Suite: 21 sårbarheder, hvoraf 11 regnes for alvorlige.

Der er syv rettelser til Java, hvoraf de fire har en CVSS-score (Common Vulnerability Scoring System) på over 8. Angribere kan udnytte alle sårbarhederne over netværket uden at være logget ind.

Tirsdag aften udsender Oracle 247 sikkerhedsrettelser, der skal lukke sikkerhedshuller i 73 produkter.

Administratorer af Oracle-systemer får en travl efterårsferieuge. De skal installere opdateringer til de berørte produkter.

Blandt rettelserne er 28 til Fusion Middleware. Den alvorligste sårbarhed har fået en CVSS-score (Common Vulnerability Scoring System) på 9,8. 18 af sårbarhederne kan udnyttes over et netværk uden at oplyse brugernavn og password.