Java

Der er fundet en 0-dagssårbarhed i Java Web application udviklingsværktøjet Spring, som sandsynligvis udsætter en række webapps for en risiko ift. remote code execution-angreb. Det skriver en række medier.

Den seneste samling sikkerhedsopdateringer fra Oracle lukker 254 sikkerhedshuller i blandt andet Oracle Database Server, Fusion Middleware, E-Business Suite, PeopleSoft, Oracle Industry Applications (Construction, Financial Services, Hospitality, Retail, Utilities), Java, MySQL og Oracle Systems Products Suite.

Der er 14 rettelser til Java SE. 12 af sårbarhederne kan udnyttes over nettet af en angriber, der ikke behøver oplyse brugernavn og password. Den alvorligste sårbarhed har en CVSS-score (Common Vulnerability Scoring System) på 8,3.

Rettelser til processorsårbarhederne Meltdown og Spectre er blandt indholdet af Oracles Critical Patch Update for januar kvartal. Det gælder blandt andet rettelser til firmaets x86-baserede servere og VirtualBox.

Årets sidste kvartalsvise sikkerhedsopdatering fra Oracle lukker 252 sikkerhedshuller. 155 af dem findes i Oracle Applications.

De alvorligste findes i Oracle Hospitality Reporting and Analytics, hvor to sårbarheder har fået en CVSS-score (Common Vulnerability Scoring System) på de maksimale 10. Samme score har en sårbarhed i Siebel Apps – Field Service fået.

Opdateringen lukker 22 sikkerhedshuller i Java SE. 20 af dem kan udnyttes over netværk af en angriber uden autentifikation. Den alvorligste har en CVSS-score på 9,6.

Udviklerne af Apache Struts har lukket tre sikkerhedshuller. Et af dem er kritisk, idet angribere kan udnytte REST-pluginnet til at afvikle skadelig programkode.

Flere angrebsprogrammer, der udnytter sårbarheden, er lagt ud på nettet.

Sårbarheden ligger i deserialization i Java.

En række store virksomheder anvender Struts og er dermed mulige angrebsmål.

Fejlene er rettet i Apache Struts 2.5.13.

Anbefaling

Opdater til Apache Struts 2.5.13.

Dermed er det den hidtil mest omfattende samling rettelser, siden Oracle begyndte at udsende kvartalsvise rettelser i form af Critical Patch Updates.

165 af sårbarhederne kan udnyttes af udefrakommende angribere.

120 sårbarheder findes i Oracle E-Business Suite.

Der er 17 rettelser til Java, heraf tre kritiske. Fejlene er rettet i Java 8 Update 141.

MySQL har fået 30 rettelser, hvoraf de tre lukker kritiske huller.

Rettelserne blev udsendt den 18. juli.

Anbefaling

Test og installer opdateringerne.

MySQL tegner sig for 13 procent af rettelserne i april kvartals sikkerhedsrettelser fra Oracle. 11 af de 39 sårbarheder i MySQL kan udnyttes over nettet, uden at angriberen har en konto på systemet.

37 procent af rettelserne er til Oracles brancheløsninger og til Fusion Middleware. De fleste af dem kan udnyttes over netværk uden en brugerkonto.

25 af rettelserne lukker huller relateret til en kendt sårbarhed i Apache Struts.

Der er otte rettelser til Java SE, hvoraf de syv kan udnyttes over netværk uden en brugerkonto. Fejlene er rettet i Java 8 Update 131.

I Java ligger sårbarheden i funktionen XML eXternal Entity (XEE), som gør det muligt at hente eksterne XML-data. Data kan blandt andet hentes via FTP.

Implementeringen af FTP i XEE filtrerer ikke linjeskift fra. Derfor er det muligt at indsætte kommandoer i en FTP-URL.

Sikkerhedsforsker Alexander Klink har demonstreret, hvordan sårbarheden kan bruges til at sende kommandoer til en mailserver og dermed sende e-mails fra offerets server.

Sikkerhedsforsker Timothy Morgan har opdaget, at der er videre perspektiver ved sårbarheden, som både findes i Java og i Python.

Der er 17 sikkerhedsrettelser til Java. 16 af sårbarhederne kan udnyttes over netværk af en ikke-autentificeret bruger.

MySQL får 27 rettelser, hvoraf fem kan udnyttes af udefrakommende angribere.

Over 100 af rettelserne er til sårbarheder i Oracle E-Business Suite.

I alt er der 16 kritiske sårbarheder i kvartalets rettelser. En af dem har fået den højeste mulige CVSS-score (Common Vulnerability Scoring System) på 10.

Anbefaling

Test og installer sikkerhedsopdateringerne fra Oracle.