Oracle rolt hele berg security-updates uit

Abonneer je gratis op Techzine!

Oracle heeft een groot aantal security-updates uitgerold over zijn hele range van producten. In totaal zijn 334 security-problemen aangepakt door de updates.

De updates zijn verspreid over 93 producten uit het portfolio van het bedrijf. Zo zijn er updates voor Database Server, waar 12 securityproblemen mee aangepakt moeten worden. Drie van de problemen waren op afstand te misbruiken voor externe kwaadwillende partijen, waaronder een kwetsbaarheid in Apache Tomcat, een zwak punt in de database gateway, en een probleem in het Core RDMBS-product.

Ook in communicatie-apps van Oracle zijn een aantal ernstige security-problemen ontdekt. 23 van de 25 CVE-listed bugs zijn op afstand exploiteerbaar, zonder dat kwaadwillenden ook maar enige vorm van authenticatie nodig hadden.

Dan is er nog de Fusion Middleware, waarbij 38 bugs ontdekt zijn die in 30 gevallen op afstand te misbruiken waren. Drie van deze bugs kregen een score van 9.8 op de CVSS-schaal, namelijk CVE-2020-2555, CVE-2020-2551 en CVE-2020-2546. Het is kortom ten zeerste aan te raden om die bugs direct te patchen.

Solaris

Het Solaris-besturingssysteem kreeg 10 patches mee, waarvan 2 stuks op afstand de misbruiken waren. The Register meldt dat CVE-2019-9636 in het bijzonder een problematische RCE-bug is, deze bevindt zich in de Sun ZFS Storage Appliance Kit.

Verder was er een bug met de naam CVE-2020-2696, een privilege-fout in Solaris 10 Common Desktop Environment. De bug werd ontdekt door Marco Ivaldi, security-adviseur bij Mediaservice.net. Ivaldi beschrijft de fout als “cute straight-out-of-the-manual memory corruption”, en suggereerde dat er waarschijnlijk nog een aantal soortgelijke bugs bestaan.

“Tijdens mijn audit zijn veel andere potentieel exploiteerbare bugs opgedoken in dtsession en in de Common Desktop Environment in het algemeen,” zei Ivaldi. “Daarom moet je, ongeacht de patches die door de leveranciers worden uitgebracht, echt overwegen om de setuid bit van alle CDE-binaire bestanden te verwijderen.”