Oracle heeft zijn eerste Critical Patch Update van het jaar uitgebracht, die in totaal maar liefst 334 kwetsbaarheden in zijn software verhelpt. Bijna 200 kwetsbaarheden kunnen worden misbruikt om zonder authenticatie vanop afstand toegang te krijgen tot een systeem.
De Critical Patch Update (CPU) van januari 2020 is even groot in omvang als die van juli 2018, die geregistreerd staat als de grootste CPU tot nu toe. De lekken zijn verspreid over 94 verschillende producten.
De twee meest kritieke bugs zitten in Oracle Human Resources en hebben een ernstgraad van 9,9 op 10. Deze kwetsbaarheden kunnen evenwel niet vanop afstand worden misbruikt zonder authenticatie.
Nog eens 31 kwetsbaarheden hebben een ernstgraad van 9,8 op 10. Deze zijn te vinden in Oracle WebLogic Server, Oracle Communications Instant Messaging Server, Enterprise Manager Ops Center, Oracle Application Testing Suite, Hyperion Planning en JD Edwards Enterprise One Orchestrator.
Misbruik zonder authenticatie
De patch dicht ook twaalf lekken in Oracle Database Server, waarvan drie vanop afstand kunnen worden misbruikt zonder authenticatie. Twee van die bugs krijgen een ernstgraad van 7,5 op 10, de derde krijgt een lagere score van 5,9 op 10.
Van de 25 kwetsbaarheden die in Oracle Communications Applications worden verholpen, kunnen er 23 vanop afstand worden misbruikt zonder authenticatie. Daarvan hebben zes bugs een ernstgraad hoger dan 9 op 10. Ook van de 23 patches voor Oracle E-Business Suite zijn er 21 die lekken dichten die zonder authenticatie vanop afstand kunnen worden misbruikt.
In Oracle Fusion Middleware zijn maar liefst 38 lekken gedicht, waarvan 30 vanop afstand kunnen worden misbruikt zonder authenticatie. Ook Oracle Java SE kreeg ten slotte een dozijn patches, die allemaal zonder authtenicatie vanop afstand kunnen worden misbruikt.
Vier keer per jaar
In tegenstelling tot bijvoorbeeld de maandelijkse Patch Tuesday van Microsoft, brengt Oracle slechts vier keer per jaar een Critical Patch Update uit, waardoor die soms erg groot in omvang kunnen zijn.
De volgende CPU staat op de agenda voor 14 april, gevolgd door nog eentje op 14 juli en een laatste kritieke patchronde voor 2020 op 20 oktober.
Oracle dringt erop aan dat klanten de patches zo snel mogelijk installeren. Het bedrijf blijft namelijk periodiek rapporten ontvangen van succesvolle aanvallen die gebruik maken van kwetsbaarheden waarvoor al beveiligingspatches werden vrijgegeven, maar die nog niet door klanten werden geïnstalleerd.
Lees ook: Windows-lek blijft veelal ongepatcht ondanks waarschuwingen. Ook Microsoft merkt dat zijn gebruikers hardleers zijn. Ondanks meldingen over actieve aanvallen met de gevaarlijke BlueKeep-exploit in Windows, worden systemen nauwelijks gepatcht.