Súlyos biztonsági csomaggal érkezik az Oracle
Microsoft csendes patch keddje mellett az Oracle masszív csomagot tesz le az asztalra. Az összesen 59 frissítés közül 21 Sun Solaris termékeket érint, 6 pedig az Oracle Database szoftvert, amelyek egy része kritikusnak tűnik.
Az Oracle magyar idő szerint ma éjjel adja ki az ütemes biztonsági csomagját, amely tipikusan több tucat terméket érint. A ma landoló 59 frissítés közül 21 érint Solarist vagy kapcsolódó szoftvert, 16 üzleti alkalmazásokat, 13 adatbázis-kezelőhöz kötődik, 7 pedig a Fusion köztesréteghez. Számos javítás olyan sebezhetőséget orvosol, amely hálózaton keresztül távolról, sokszor autentikáció nélkül is kiaknázható a támadók számára, ami különösen súlyossá teszi azokat.
Az Oracle előzetes értesítője szerint a 21 Solaris termék közt a UNIX operációs rendszeren túl megtalálható a GlassFish Enterprise Server, Java alkalmazásszerver, valamint az Oracle által kifutó ágra helyezett OpenSSO azonosságkezelő is. A solarisos frissítések közül 7 olyan sebezhetőséggel foglalkozik, amelyek azonosítás nélküli távoli támadást tesznek lehetővé.
Az összesen 13 Oracle adatbázis-kezelő patch közül 6 érinti a Database Servert, amelyből 4 tesz lehetővé hasonló módon távolról, autentikáció nélkül lehet kiaknázni, emiatt a 10 pontos CVSS (Common Vulnerability Scoring System) rendszerben 7,8 pontot kapott a legmagasabb besorolású. A TimesTen In-Memory Database ebből kettőt tartalmaz, míg a Secure Backup hármat, egyaránt 10-es pontszámú kockázattal. A Fusion moduljaiban 5, az Enterprise Managerben egy, az E-Business Suit-ban pedig megint csak 5 távolról támadható rés található.