Redwood Shores (USA) – Se fosse un simbolo di fertilità potrebbe tranquillamente rivaleggiare con certi megaliti del Neolitico. Si tratta della corpulenta megapatch con cui Oracle , negli scorsi giorni, ha sistemato in un sol colpo oltre 100 vulnerabilità di sicurezza che si annidavano in diversi suoi prodotti.
L’aggiornamento, definito Critical Patch Update , corregge per l’esattezza 103 falle : 37 relative alla famiglia di database di Oracle, 17 all’Application Server, 20 alla Collaboration Suite, 27 all’E-Business Suite and Applications, una a PeopleSoft Enterprise Portal ed una a JD Edwards EnterpriseOne.
Una parte di queste vulnerabilità, tra cui diverse di quelle che interessano i famosi database del colosso, vengono descritte da Oracle come ad alto impatto , e potrebbero consentire ad un aggressore remoto o locale di eseguire del codice a propria scelta, leggere e sovrascrivere file, accedere a informazioni riservate, bypassare certe restrizioni di sicurezza e lanciare attacchi di tipo SQL injection e cross site scripting. FrSIRT ha valutato l’insieme delle debolezze come “ad alto rischio”.
“Diverse vulnerabilità sono rilevanti e andrebbero corrette il prima possibile”, ha commentato Symantec in un avviso di sicurezza.
Nel proprio advisory Oracle fornisce delle tabelle, chiamate matrici del rischio , che aiutano gli amministratori di sistema ad isolare i componenti affetti dai problemi di sicurezza e assegnare a ciascuna patch una priorità.
Questo è il secondo anno che Oracle adotta un ciclo dei rilasci trimestrale : in precedenza il colosso rilasciava le patch singolarmente, non appena pronte. L’azienda sostiene che la nuova strategia semplifica alle aziende la gestione e la pianificazione degli aggiornamenti di sicurezza, riducendo di conseguenza il rischio che le patch non vengano applicate o vengano applicate in ritardo.