Con la consueta megapatch trimestrale, Oracle ha corretto 101 vulnerabilità di sicurezza contenute all’interno dei propri software, tra cui database, application server, suite per l’e-business ed altro ancora.
Quasi la metà delle falle, per la precisione 45, può essere utilizzata dai cracker per lanciare attacchi attraverso una rete , in alcuni casi senza la necessità di autenticarsi.
Le patch che riguardano i database sono 63 , alcune delle quali correggono problemi relativi a SQL injection o errori di buffer overflow. Gli esperti di sicurezza affermano che alcune di queste debolezze sono piuttosto gravi, perché potrebbero consentire ai cracker di compromettere anche le applicazioni di back-end come CRM e ERP.
Altre 33 falle riguardano invece Oracle Application Express , un toolkit gratuito per lo sviluppo di applicazioni per il web. Le restanti interessano application server, E-Business Suite, PeopleSoft e JD Edwards.
Nel proprio advisory Oracle fornisce delle tabelle, chiamate matrici del rischio , che aiutano gli amministratori di sistema ad isolare i componenti affetti dai problemi di sicurezza e assegnare a ciascuna patch una priorità.
Questo è il secondo anno che Oracle adotta un ciclo dei rilasci trimestrale : in precedenza il colosso rilasciava le patch singolarmente, non appena pronte. L’azienda sostiene che la nuova strategia semplifica alle aziende la gestione e la pianificazione degli aggiornamenti di sicurezza, riducendo di conseguenza il rischio che le patch non vengano applicate o vengano applicate in ritardo.
Ti potrebbe interessare
19 ott 2006