Oracle rolt tijdens patchronde 387 beveiligingsupdates uit: meteen installeren
Tijdens de patchronde van oktober heeft Oracle 387 beveiligingsupdates voor een groot aantal producten uitgebracht en het softwarebedrijf roept klanten op om die 'zonder vertraging' te installeren. De 387 patches zijn niet voor individuele kwetsbaarheden. Sommige van de beveiligingslekken bevinden zich in meerdere producten waarvoor Oracle aparte patches uitbrengt, wat het grote aantal updates verklaart.
De meeste patches, 103 in totaal, verschenen voor producten in de categorie financiële dienstenapplicaties. Het gaat dan bijvoorbeeld om Oracle Banking en Oracle Financial Services. Verder zijn 91 updates voor Oracle Communications beschikbaar gemaakt. De impact van één van de kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Daarnaast zijn er meerdere beveiligingslekken verholpen met een impactscore van 9.8, wat inhoudt dat aanvallers systemen op afstand volledig kunnen overnemen.
Het gaat onder andere om kwetsbaarheden in Oracle WebLogic Server (CVE-2022-42920, CVE-2022-29599, CVE-2023-22069, CVE-2023-22072 en CVE-2023-22089). Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. In het verleden zijn kwetsbaarheden in de software vaker het doelwit van aanvallen geweest. Zo waarschuwde de Amerikaanse overheid afgelopen mei nog voor actief misbruik van een kwetsbaarheid in WebLogic.
Oracle zegt dat het berichten blijft ontvangen van aanvallen waarbij er misbruik wordt gemaakt van kwetsbaarheden waarvoor het al beveiligingsupdates heeft uitgebracht. Sommige van de aanvallen waren ook succesvol omdat klanten hadden nagelaten de patches te installeren, aldus het softwarebedrijf. Oracle roept organisaties dan ook op om de nu beschikbaar gestelde updates meteen te installeren.
In tegenstelling tot bijvoorbeeld Adobe of Microsoft komt Oracle niet elke maand maar elk kwartaal met updates. De volgende patchronde staat gepland voor 16 januari 2024.
Maar hoe vaak is je productie omgevallen?
De systemen die ik draai geven vrijwel meteen na het bekend maken van een kwetsbaarheid een patch vrij, waardoor de gebruiker zo kort als mogelijk kwetsbaar blijft. Maar eens in de drie maanden (of zelf maar één keer in de maand) patches vrijgeven vind ik onverantwoord. Het moet zijn: beveiligingspleister beschikbaar? Meteen de lucht in om de kwetsbaarheid te fixen. Zó hoort het. Gelukkig zijn er systemen die zo werken.
In de regel niet bij propriëtaire software omdat men zich denkt te kunnen verstoppen achter het niet publiekelijk inzichtelijk zijn van de broncode. Dat is sowieso een achterhaalde gedachte en heb je ooit een decompilatieprogramma gedraaid op met Java of .NET gemaakte software? Alleen de commentaren ontbreken. Ik vind patchrondes werkelijk schandalig want de systemen van gebruikers zijn onnodig lang kwetsbaar en die verhaaltjes van het moet worden ingepland duiden op starre, inflexibele processen bij de IT-afdelingen van gebruikers.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
