136 sebezhetőséget javított az Oracle
Több termékcsaládban is kritikus sebezhetőséget javít az Oracle friss javítócsomagja. A menetrendszerűen kiadott csomag most 136 különböző hibát orvosol, a 49 érintett termék között megtalálható az Oracle Database Server, a Java, a MySQL és a Solaris is.
Menetrendszerűen érkezett az Oracle áprilisi javítócsomagja, amely szokás szerint a cég (szinte) összes termékéhez hoz javításokat, frissítéseket, biztonsági foltozást. A legnagyobb változást azonban a CVSSv3 bevezetése hozza, a cég immár egy átdolgozott pontozási rendszerben méri a foltozott sebezhetőségek kritikus jellegét.
Az áprilisi CPU (Critical Patch Update) szokás szerint az Oracle szinte minden termékéhez tartalmaz frissítést, így a PeopleSofttól a JD Edwards-ig, a Siebltől az Oracle Life Sciences-ig, a JRockittól a Solaris Clusterig szerepelnek alkalmazások rajta. A fontosabbak persze a Java SE, a MySQL, a DataBase Server és a Solaris, amelyeket a legtöbb helyen, illetve támadásnak legkitettebb gépeken használnak.
Mentorhatás: tapasztalt szememmel vezetem a kezedet A sikeres IT karrierek többsége mögött ott áll egy erős mentor, szerepének azonban nagyon sokféle árnyalata lehet.
Az Oracle Database Server öt frissítést kapott, ezek legmagasabb besorolása az új pontozás szerint 9.0, ami kritikusnak számít, és a 11.2 illetve 12.1-es verziók némelyikét érinti. A köztesréteg-szoftverek között több 9.8-as besorolású hibát is javít a cég, a GlassFish Servert, a WebLogic és WebCenter termékeket is érdemes azonnal frissíteni. A Java SE kilenc frissítést kap, ezek közül négy kapott 9.0-nál magasabb (kritikus) besorolást, a legmagasabb három pedig 9.6-os pontot ért el. A javítások teljes listája az Oracle hivatalos oldalán érhető el.
Új pontozási rendszer
A frissítéssel az Oracle bevezette a CVSS 3.0-t (Common Vulnerability Scoring Standard), vagyis kicsit másképp pontozza a sebezhetőségek fontosságát és kritikus jellegét, mint eddig. Az átállás jegyében a most kiadott frissítéseket mindkét rendszerben, CVSSv2 és CVSSv3 alatt is pontozza a cég (legalábbis elvben, a régi metodológia alapján számolt pontszámokat az Oracle még nem hozta nyilvánosságra tudomásunk szerint). Mindenesetre a következő javítócsomagokat már egységesen CVSS v3 alatt pontozza, mely általában számottevően magasabb és pontosabb pontszámokat jelent majd.
A pontozás azért nagyon fontos, mert rengeteg nagy szervezet a pontozáshoz köti a frissítések telepítését (illetve a telepítés prioritását). A belső szabályok például magas prioritást rendelhetnek a bizonyos pontszám fölötti frissítések telepítéséhez, bizonyos pontszám alatt pedig a szervezet akár el is tekinthet a foltozástól. Emiatt az Oracle-t korábban sok kritika érte, hogy konzisztensen alulpontozza a termékeiben található sebezhetőségeket, így sok nagyon fontos hiba kapott az indokoltnál alacsonyabb besorolást.