:

Szerző: Bizó Dániel

2010. április 9. 11:50

A Solaris bekerült az Oracle ütemes frissítési ciklusába

Bekerült az Oracle biztonsági frissítés ciklusába a Sun Solaris, valamint a hozzá szorosan kapcsolódó szoftverek. Ezzel összehangolttá és sokkal kiszámíthatóbbá válik, mikor érkeznek a javítások, szemben a korábbi ad hoc kiadási gyakorlattal.

Az Oracle április 13-án, a Microsoft patch keddel egy időben fogja kiadni szokásos negyedéves kritikus biztonsági frissítéseit, amelyek összesen 47 kritikus biztonsági rést foltoznak be Oracle-szoftverek több száz kiadásában, vagyis a sebezhetőségek nagy része a közös kódbázisban található. Ebből 16 sebezhetőség már a Sun Solaris termékeit érinti, derül ki az Oracle előzetes értesítőjéből.

Az Oracle egyúttal közölte, hogy ettől kezdődően a Critical Patch Update biztonsági frissítések a Sun Solaris termékeket is érinteni fogják. A UNIX operációs rendszer mellett a Sun Cluster, a Convergence, a Java System szoftverek, a Management Center és Ray Server is beletartozik az érintett Solaris termékek közé. Ezzel a Sun korábbi gyakorlatával ellentétben teljesen kiszámíthatóvá válik a Solarishoz és a kapcsolódó szoftverekhez érkező biztonsági javítások érkezésének ideje.

A Sun szoftvereket érintő 16 kritikus biztonsági rés felét távolról, mindenféle autentikáció nélkül ki lehet aknázni, így a patchek azonnali telepítése javasolt. Az Oracle Database esetében rés található többek közt a Core RDBMS, Security és JavaVM komponensekben, összesen 7, ezek közül azonban szerencsére egy sem aknázható ki autentikáció nélkül, távolról, így a Common Vulnerability Scoring System (CVSS) alapján csak 7,5 pontot érnek el. Ugyanakkor távolról támadható többek közt a Portal, számos Oracle, PeopleSoft és JD Edwards üzleti alkalmazás is. Az előzetes értesítő itt olvasható.

Egy tavalyi kutatás alapján az Oracle szoftvereket adminisztrálók többsége nem telepíti azonnal a kritikus biztonsági frissítéseket, és többnyire hanyag munkát végez. Az Oracle és az Independent Oracle Users Group által elvégeztetett felmérés alapján csak kevesebb mint harmaduk telepíti a biztonsági javításokat még azelőtt, hogy a következő csomag megjelenne, negyedük egy ciklussal, egy újabb negyedük pedig 2-4 ciklussal le van maradva a frissítések telepítésében -  utóbbi azt jelenti, fél-egy évig ismert sérülékenységnek teszik ki a szoftvereket. A megkérdezettek 11 százaléka egyáltalán nem telepíti az Oracle által kiadott javításokat, és akik telepítenek, azok többsége is erősen megválogatja, mely szoftvereket patcheli, sokszor kényük-kedvük szerint.

a címlapról