Oracle brengt 89 patches uit

Voor Oracle Database biedt de Critical Patch Update 6 updates waarvan er 4 lekken betreffen die op afstand misbruikt kunnen worden. De meest kritieke daarvan, met de hoogste CVSS-score van 9 van de gehele updataronde, betreft een lek in de XML Parser. CVSS is het Common Vulnerability Scoring System waarmee op een schaal van 1 tot 10 de ernst van een lek kan worden aangegeven.

Ook behoorlijk kritiek, met een CVSS-score van 7,8, is een van de lekken in Sun Solaris. In totaal worden met de patchronde 16 lekken gedicht in de Sun-productlijn van Oracle.

Voor Fusion Middleware zijn 21 patches voorhanden. Het ernstigste lek dat op afstand te misbruiken is, heeft een CVSS-score van 7.5.
In de MySQL-database dicht de update 18 lekken. Hiervan zijn er 2 op afstand toegankelijk.

Patchadviezen experts

De patchrondes van Oracle zijn altijd bijzonder volumineus. Dit keer betreffen ze 20 producten. In totaal zijn dit jaar al bijna 390 patches uitgebracht. Het vereist grote inspanningen om die patches ook werkelijk door te voeren. Zo raadt Wolfgang Kandek, CTO van Qualys in zijn blog aan eerst de lekken te patchen voor systemen die via Internet toegankelijk zijn: Fusion Middleware, Solaris OS en MySQL.

Ross Barrett van beveiliger Rapid7 dringt er op aan de lekken in de Oracle Database Server zo snel mogelijk te patchen, maar daarbij wel de stabiliteit en integriteit van de Solaris-installaties goed in de gaten te houden.