Redwood Shores (USA) – Seguendo il suo tradizionale ciclo trimestrale di aggiornamento, negli scorsi giorni Oracle ha pubblicato la terza collezione di patch dall’inizio dell’anno: l’ aggiornamento corregge 45 vulnerabilità in 23 prodotti differenti.
Oracle non classifica le falle per gravità, ma tra queste circa la metà consistono in buffer overflow e SQL injection, e potrebbero essere sfruttate a distanza per l’esecuzione di codice maligno o la compromissione di un sistema. Le patch relative ai soli database di Orache sono 13, 9 delle quali sfruttabili in modalità remota.
Alcuni dei problemi più gravi interessano TimesTen In-Memory Database, HTTP Server, WebLogic, Internet Directory, Portal e Hyperion Performance Suite.
Per la prima volta il Critical Patch Update di Oracle contiene anche le patch per i prodotti della neo acquisita BEA, interessati complessivamente da sette vulnerabilità.
L’azienda raccomanda ai propri clienti di installare l’aggiornamento non appena possibile, ma questi appelli sembrano fare poca presa sui responsabili IT aziendali. All’inizio dell’anno Sentrigo , una società specializzata nella sicurezza dei database, ha infatti condotto un sondaggio dal quale è emerso che i due terzi degli amministratori di sistema non hanno mai installato un Critical Patch Update. Tra gli intervistati, solo il 10% ha affermato di applicare le patch di Oracle con regolarità.