Redwood Shores (USA) – Seguendo il tradizionale ciclo trimestrale di rilascio delle patch, Oracle ha corretto 65 vulnerabilità di sicurezza, 27 delle quali sono potenzialmente sfruttabili da remoto.
FrSIRT considera la pericolosità complessiva di queste falle elevata , spiegando che queste possono essere sfruttate per eseguire comandi o codice da remoto, attacchi di denial of service locali e remoti, lettura e scrittura di dati arbitrari, accesso non autorizzato a informazioni sensibili, attacchi di SQL injection, e aggiramento di certe restrizioni di sicurezza.
Delle 65 falle, 23 interessano i database , 10 gli application server, 20 le suite e le applicazioni per l’e-business, quattro l’Enterprise Manager, due PeopleSoft Enterprise Portal, una la Collaboration Suite e una il software JD Edwards. Le rimanenti debolezze correggono alcuni bug nel software lato client: questa è la seconda volta che il colosso include nei propri aggiornamenti critici correzioni dedicate ad applicazioni che girano sui PC desktop.
Come consuetudine, nel proprio advisory Oracle non fornisce alcun dettaglio sui problemi corretti , riservando l’accesso a queste informazioni solo ai partner più stretti. Un approccio alla sicurezza, quello del gigante dei database, che continua a sollevare critiche tra gli esperti del settore.
“Non mi piace affatto come Oracle gestisce le patch”, ha scritto Swa Frantzen, di SANS Institute, in questo post . “Tre mesi sono un tempo troppo lungo (per rilasciare gli aggiornamenti critici, NdR), e 65 vulnerabilità sono troppe da gestire tutte insieme. Inoltre odio non potermi informare sui dettagli”.
C’è chi ha stimato che le patch rilasciate da Oracle con l’ultimo update, tenendo conto delle varie piattaforme, siano oltre 250 .
Un portavoce americano di Oracle ha affermato che l’azienda sta prendendo in seria considerazione la sicurezza dei suoi prodotti, ed è impegnata a migliorare costantemente il processo di analisi, sviluppo e distribuzione delle patch. L’azienda ha poi detto di non essere a conoscenza di attacchi che sfruttino alcuno dei bug appena sistemati.