Oracle dicht 297 kwetsbaarheden in patch van april

Oracle raadt zijn klanten aan om zijn April critical patch update te installeren. Daarin dichtte het bedrijf 297 kwetsbaarheden in onder meer de Database Server, Fusion Middleware, Enterprise Manager, E-Business Suite, PeopleSoft en Siebel CRM. Ook zijn er beveiligingsoplossingen voor Java SE, Virtualization, MySQL en Sun Systems.

Oracle waarschuwt dat hackers hun pijlen specifiek richten op opgeloste kwetsbaarheden, in de hoop dat bedrijven de patch nog niet geïnstalleerd hebben, schrijft ZDNet.

Kwetsbaarheden

In deze nieuwe update zijn vijf kritieke kwetsbaarheden in JavaSE gedicht. Al die kwetsbaarheden kunnen op afstand misbruikt worden, zonder authenticatie. De belangrijkste kwetsbaarheid is CVE-2019-2699 en treft Java SE: 8u202. De kwetsbaarheid treft Java deployments, zoals clients die in een sandbox in Java Web Start-apps of Java-applets draaien die code van het internet draaien. De kwetsbaarheid kan misbruikt worden via een webserver die data naar de API’s stuurt.

Ook zijn er oplossingen voor 53 kwetsbaarheden die Oracle Fusion Middleware treffen. 42 daarvan kunnen op afstand misbruikt worden, zonder dat hier credentials van gebruikers voor nodig zijn. Twaalf van de fouten hebben een ernstniveau van 9,8 op een maximum van 10.

De update bevat patches voor 35 bugs in E-business, waarvan 33 op afstand uitgevoerd kunnen worden zonder authenticatie. Voor Communications-applicaties zijn 26 fouten opgelost, waarvan negentien op afstand geëxploiteerd kunnen worden zonder wachtwoorden. MySQL kreeg 45 oplossingen, waarvan er vier op afstand misbruikt kunnen worden zonder authenticatie.

Externe onderzoekers

106 van de fouten die in de update van april worden opgelost, werden door externe onderzoekers bij Oracle gemeld. Zo vertelde Mateusz Jurczyk van Google Project Zero Oracle over twee van de vijf Java SE-kwetsbaarheden, namelijk CVE-2019-2697 en CVE-2019-2698. Project Zero heeft inmiddels proof-of-concept exploit code voor die twee fouten gepubliceerd.

Het Vulnerability Research-team van Microsoft rapporteerde CVE-2019-2696. Dat is een lokaal te misbruiken fout in Oracle VM VirtualBox. Dat was één van de vijftien fouten in de virtualisatieproducten.

De volgende twee critical patch updates zijn gepland voor 16 juli en 15 oktober.