Redwood Shores (USA) – Ieri Oracle ha rilasciato il suo secondo Critical Patch Update dall’inizio dell’anno, un aggiornamento che corregge 41 vulnerabilità di sicurezza in molti prodotti, inclusi i ben noti database e application server del gigante californiano.
Visionando la matrice di rischio pubblicata nell’ advisory ufficiale , emerge che 15 falle possono essere sfruttate in modalità remota, senza la necessità di possedere un account locale.
Le vulnerabilità relative ai database sono 17, due delle quali sfruttabili a distanza. Il resto dei fix interessano le linee di prodotti Application Server, Collaboration Suite ed E-Business Suite di Oracle, nonché i software delle famiglie PeopleSoft e Siebel.
Secondo quanto spiegato da Slavik Markovich, CTO della società di sicurezza Sentrigo , alcune delle vulnerabilità più gravi possono essere innescate mediante attacchi di SQL injection , con cui un aggressore potrebbe elevare i propri privilegi e rubare dati sensibili come i numeri delle carte di credito. Due di questi attacchi, ha spiegato Markovich, possono essere diretti contro la tecnologia Advanced Queuing adottata dai database di Oracle.
Gli esperti di sicurezza raccomandano agli amministratori di sistema di installare solo i moduli e i componenti strettamente necessari, così da ridurre la superficie di attacco. Il fatto che ogni trimestre Oracle si ritrovi a correggere decine di vulnerabilità, sostiene Markovich, è da imputare all’imponente base di codice dei suoi applicativi, base di codice che diventa ancor più estesa ed eterogenea se si considerano i numerosi moduli addizionali.
Lo scorso gennaio Oracle aveva rilasciato 26 patch di sicurezza, mentre nell’ update di ottobre i fix erano stati 51.