We wtorek 16 lipca w ramach aktualizacji Critical Patch Update (CPU) firma Oracle ogłosiła 386 nowych poprawek zabezpieczeń, w tym ponad 260 dla nieuwierzytelnionych luk, które można wykorzystać zdalnie. Ponad dwadzieścia poprawek zabezpieczeń rozwiązuje luki o krytycznym znaczeniu.
Podobnie jak w kwietniu tego roku najwięcej poprawek bezpieczeństwa otrzymało Oracle Communications. Spośród 95 poprawek 84 usuwają luki, które można wykorzystać zdalnie bez uwierzytelniania.
Aplikacje usług finansowych również otrzymały dużą liczbę poprawek zabezpieczeń (60), w tym 44 dla nieuwierzytelnionych błędów, które można wykorzystać zdalnie. Następne w czołówce jest oprogramowanie Fusion Middleware z 41 poprawkami, z których 32 rozwiązują problemy, które mogą zostać wykorzystane przez zdalnych, nieuwierzytelnionych atakujących.
Oracle udostępniło też 37 poprawek bezpieczeństwa dla MySQL, w tym 11 dla luk, które można wykorzystać zdalnie bez uwierzytelnienia, 20 poprawek dla aplikacji komunikacyjnych (14 dla nieuwierzytelnionych, możliwych do zdalnego wykorzystania luk) i 17 poprawek dla Analytics (12 dla możliwych do wykorzystania zdalnie nieuwierzytelnionych błędów).
Wydano także poprawki bezpieczeństwa dla Siebel CRM (12 poprawek – 11 dla problemów, które można wykorzystać zdalnie bez uwierzytelnienia), PeopleSoft (11 – 3), Insurance Applications (10 – 7), E-Business Suite (10 – 2), JD Edwards (8 – 6), Serwera bazy danych (8 – 3), Handlu (7 – 7), Javy SE (7 – 7) i Łańcucha dostaw (7 – 5).
Inne produkty Oracle, które zostały poprawione, to Application Express, Essbase, GoldenGate, NoSQL Database, REST Data Services, TimesTen In-Memory Database, Construction and Engineering, Enterprise Manager, HealthCare Applications, Hyperion, Retail Applications, Systems, Utilities Applications i Virtualization.
Należy zauważyć, że poprawki dla wielu luk rozwiązują dodatkowe CVE i że technologiczny gigant wypuścił także łatki dla komponentów innych firm w swoich produktach.
Klientom Oracle zaleca się jak najszybsze zastosowanie poprawek zabezpieczeń. Wiadomo, że hakerzy wykorzystują luki w zabezpieczeniach produktów Oracle, dla których wydano łatki.
„Oracle w dalszym ciągu okresowo otrzymuje raporty o próbach złośliwego wykorzystania luk, dla których udostępniło już poprawki zabezpieczeń. W niektórych przypadkach zgłaszano, że napastnicy odnieśli sukces, ponieważ docelowi klienci nie zastosowali dostępnych poprawek” – zauważa gigant technologiczny.
We wtorek firma udostępniła także łaty do oprogramowania innych firm zawarte w pakiecie Oracle Solaris oraz opublikowała biuletyny dotyczące systemów Linux i VM Server for x86 zawierające listę wszystkich problemów CVE, które zostały rozwiązane i ogłoszone w tych produktach w ciągu miesiąca poprzedzającego publikację lipcowego biuletynu.