Da Oracle un mega-update da 100 patch

La megapatch trimestrale distribuita in questi giorni da Oracle corregge oltre un centinaio di vulnerabilità in molti prodotti del colosso, tra cui database e application server
La megapatch trimestrale distribuita in questi giorni da Oracle corregge oltre un centinaio di vulnerabilità in molti prodotti del colosso, tra cui database e application server


Redwood Shores (USA) – Se fosse un simbolo di fertilità potrebbe tranquillamente rivaleggiare con certi megaliti del Neolitico. Si tratta della corpulenta megapatch con cui Oracle , negli scorsi giorni, ha sistemato in un sol colpo oltre 100 vulnerabilità di sicurezza che si annidavano in diversi suoi prodotti.

L’aggiornamento, definito Critical Patch Update , corregge per l’esattezza 103 falle : 37 relative alla famiglia di database di Oracle, 17 all’Application Server, 20 alla Collaboration Suite, 27 all’E-Business Suite and Applications, una a PeopleSoft Enterprise Portal ed una a JD Edwards EnterpriseOne.

Una parte di queste vulnerabilità, tra cui diverse di quelle che interessano i famosi database del colosso, vengono descritte da Oracle come ad alto impatto , e potrebbero consentire ad un aggressore remoto o locale di eseguire del codice a propria scelta, leggere e sovrascrivere file, accedere a informazioni riservate, bypassare certe restrizioni di sicurezza e lanciare attacchi di tipo SQL injection e cross site scripting. FrSIRT ha valutato l’insieme delle debolezze come “ad alto rischio”.

“Diverse vulnerabilità sono rilevanti e andrebbero corrette il prima possibile”, ha commentato Symantec in un avviso di sicurezza.

Nel proprio advisory Oracle fornisce delle tabelle, chiamate matrici del rischio , che aiutano gli amministratori di sistema ad isolare i componenti affetti dai problemi di sicurezza e assegnare a ciascuna patch una priorità.

Questo è il secondo anno che Oracle adotta un ciclo dei rilasci trimestrale : in precedenza il colosso rilasciava le patch singolarmente, non appena pronte. L’azienda sostiene che la nuova strategia semplifica alle aziende la gestione e la pianificazione degli aggiornamenti di sicurezza, riducendo di conseguenza il rischio che le patch non vengano applicate o vengano applicate in ritardo.

Link copiato negli appunti

Ti potrebbe interessare

19 01 2006
Link copiato negli appunti