2min

Tags in dit artikel

, , ,

Oracle heeft onlangs weer zijn driemaandelijkse set aan patches uitgebracht om kwetsbaarheden binnen zijn producten aan te pakken. Met de patches kwam een bijbehorend bericht, waarin klanten met krachtige woorden werden aangespoord om de patches ook daadwerkelijk te installeren.

De reden voor de berisping richting Oracle-klanten heeft te maken met het feit dat het bedrijf verscheidene berichten heeft binnengekregen met betrekking tot kwetsbaarheden waar al een patch voor is uitgebracht.

Onnodige kwetsbaarheden

In een verklaring liet Oracle weten dat het bedrijf van tijd tot tijd rapporten binnenkrijgt met betrekking tot pogingen om bepaalde kwetsbaarheden te exploiteren. In sommige gevallen zou het het om succesvolle aanvallen gaan, die voorkomen hadden kunnen worden als klanten de beschikbare Oracle patches hadden geïnstalleerd.

334 Oracle patches

Kritieke bugs zouden onder andere zijn gevonden bij Enterprise Manager, MySQL en software die onder Oracle’s zogenaamde Supply Chain producten valt. Met de nieuwe set aan patches zijn in totaal 334 fixes uitgebracht, waarvan er 43 kritiek zouden zijn en volgens het bedrijf onmiddellijk geïnstalleerd zouden moeten worden.

Tijdelijke oplossingen

Hoewel Oracle hamert op het installeren van de patches, heeft het bedrijf toch advies voor klanten die de patches nog niet hebben geïnstalleerd. Zou zouden bedrijven het risico op aanvallen kunnen verkleinen door de netwerkprotocollen te blokkeren, die nodig zijn voor een aanval. Daarnaast zouden ook bepaalde toegangsprivileges beperkt kunnen worden voor werknemers waarvoor deze privileges niet essentieel zijn.

Oracle waarschuwt wel dat bovengenoemde maatregelen de functionaliteit van sommige producten negatief zouden kunnen beïnvloeden. Er wordt daarom aangeraden om deze maatregelen alleen toe te passen bij systemen die niet absoluut noodzakelijk zijn.

Gevaar van nalatigheid

Dat het up-to-date houden van beveiligingspatches wordt onder andere onderstreept door het voorval met Equifax in 2017. Hier was sprake van een gegevenslek, dat gedeeltelijk het gevolg was van nalatigheid met betrekking tot nieuwe patches. In dit geval waren er meer dan 8.500 patches, die al geïnstalleerd hadden moeten zijn.