Oracle update – patch-uri critice iulie 2018

Setul de corecții de securitate pentru produsele Oracle a fost publicat în  iulie 2018, care rezolvă 324 vulnerabilități, inclusiv 61 critice (cu CVSS între 9.0 și 10.0).
Pentru aplicaţii financiare ale Oracle au fost publicate mai mare parte a patch-urilor care fixează 56 de defecte, urmate de Fusion Middleware (44) și Aplicațiile pentru comerțul cu amănuntul și baza de date MySQL (31, respectiv).
Atacatorii ar putea folosi 21 de aplicații financiare pentru a avea acces la sisteme de la distanță, fără a trebui să introducă acreditările utilizatorilor.

Mai multe vulnerabilități adresate în această actualizare critică a patch-urilor afectează mai multe produse.
Vulnerabilitățile multiple nu necesită autentificare pentru a permite unui utilizator de la distanță, neautentificat, să dețină controlul deplin asupra unui sistem vulnerabil.

Produsele potențial afectate
• Oracle Database Server: 12.2.0.1, 18.1
• Oracle Global Lifecycle Management (extensii specifice DB - Jackson-databind): Toate versiunile
• Aplicații de comunicare Oracle 10.x, 12.x
• Produsele Oracle Enterprise Manager: 12.1.0.5, 13.2.x
• Oracle Fusion Middleware
• Cereri de asigurare Oracle: 10.0, 10.1, 10.2, 11.0
• Oracle Java SE: 6u191, 7u181, 8u172
• Oracle MySQL: 3.4.7.4297 și anterior, 4.0.4.5235 și anterior, 8.0.0.8131 și anterioare
• Produsele Oracle PeopleSoft: 9.2
• Automatizarea politicii Oracle: 10.4.7, 12.1.0, 12.1.1, 12.2.0, 12.2.1, 12.2.2, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7, 12.2 .8, 12.2.9, 12.2.10
• Aplicații Oracle Retail
• Oracle Sun Systems: 3.3, 4.3
• Produse Oracle Supply Chain
• Aplicații Oracle Utilities: Sistem de administrare a rețelei - Apache Log4j: 1.12.x, 2.3.x
Orange Moldova CERT recomandă cu insistență să aplicaţi patch-uri de actualizare critică cât mai curând posibil.
Până la aplicarea patch-urilor, este posibil să reduceți riscul de atac reușit prin blocarea protocoalelor de rețea necesare pentru un atac.