Oracle heeft tijdens de geplande kwartaalupdate van oktober 219 kwetsbaarheden in een groot aantal producten gepatcht waardoor aanvallers in het ergste geval volledige controle over het onderliggende systeem hadden kunnen krijgen. De meeste lekken (37) werden in Fusion Middleware verholpen.
Daarnaast werden ook in Oracle MySQL (34) en Java SE (20) veel kwetsbaarheden gepatcht. Alle Java-kwetsbaarheden zijn door een aanvaller op afstand te misbruiken. Tevens verschenen er updates voor de virtualisatiesoftware van Oracle, waaronder VirtualBox. Op een schaal van 1 tot en met 10 wat betreft de ernst van de beveiligingslekken is een kwetsbaarheid in Oracle NoSQL Database met een 10 beoordeeld. Veertien andere lekken kregen een beoordeling van 9,8.
Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gecompromitteerd omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Organisaties en beheerders krijgen dan ook het advies om de updates van de Critical Patch Update direct te installeren en ondersteunde versies van de software te blijven gebruiken. Wanneer het direct uitrollen van de updates niet mogelijk is adviseert Oracle om de netwerkprotocollen die voor een aanval zijn vereist te blokkeren.
Vier keer per jaar brengt Oracle een zogeheten Critical Patch Update uit om kwetsbaarheden in de eigen software te verhelpen. De volgende patchronde staat gepland voor 14 januari 2020.
Deze posting is gelocked. Reageren is niet meer mogelijk.