Η κρίσιμη ενημέρωση ασφαλείας της Oracle για τον Ιανουάριο 2015 εστιάζει στην επιδιόρθωση συνολικά 167 ευπαθειών που βρέθηκαν σε 48 από τα προϊόντα της.
Τα patches κυκλοφόρησαν την Τρίτη και το πιο σοβαρό από τα ζητήματα έλαβε τη μέγιστη βαθμολογία επικινδυνότητας, σύμφωνα με τη δεύτερη έκδοση του Common Vulnerability Scoring System (CVSS).
Ο ειδικός σε θέματα ασφάλειας βάσεων δεδομένων, David Litchfield, αναφέρει ότι 11 από τα σφάλματα που επιδιορθώνονται στην παρούσα ενημέρωση ασφάλειας έχουν εντοπιστεί και αναφερθεί από τον ίδιο και ένα από αυτά ξεχωρίζει όσον αφορά την επικινδυνότητα.
Σε ένα tweet τη Δευτέρα, δήλωσε ότι το σφάλμα εντοπίστηκε κατά τον έλεγχο των συστημάτων ενός πελάτη. Αρχικά, πίστευε ότι είχε προηγηθεί επίθεση και ότι ο εισβολέας τοποθέτησε ένα backdoor.
Με μια πιο προσεκτική εξέταση, ο Litchfield ανακάλυψε ότι το backdoor προερχόταν από την Oracle και αποτελούσε μέρος της seeded εγκατάστασης του eBusiness Suite. Συγκεκριμένα, παρείχε προνόμια διαχειριστή σε απλούς χρήστες, πράγμα που σημαίνει ότι οποιοσδήποτε χρήστης με επαρκή γνώση θα μπορούσε να αποκτήσει πρόσβαση στις βάσεις δεδομένων.
Σύμφωνα με την ανακοίνωση της εταιρείας για τις ενημερώσεις, ένα από τα προϊόντα που επηρεάζονται από μια τέτοια σοβαρή ευπάθεια είναι η Java Standard Edition (SE).
Συνολικά, το πρόγραμμα πρόκειται να λάβει 19 επιδιορθώσεις, με 14 από αυτές να έχουν ιδιαίτερη σημασία επειδή επιδιορθώνουν ευπάθειες που ενέχουν τον κίνδυνο του remote exploitation.
Ο προγραμματιστής αναφέρει ότι αυτές οι ευπάθειες θα επέτρεπαν σε εισβολέα να τις εκμεταλλευτεί, χωρίς να έχει όνομα χρήστη και κωδικό πρόσβασης.
Άλλα Java components που περιλαμβάνονται στον κατάλογο των ενημερώσεων είναι το Java SE Embedded και το JRockit.
Το προϊόν που έλαβε τη μεγαλύτερη προσοχή είναι το Oracle Fusion Middleware, για το οποίο κυκλοφορούν 35 νέες ενημερώσεις ασφαλείας, με τις περισσότερες από αυτές (28) να επιδιορθώνουν ευπάθειες εκμετάλλευσης από απόσταση, χωρίς να απαιτείται έλεγχος ταυτότητας του πιθανού εισβολέα.
19 components του προϊόντος επηρεάζονται από τις δυσλειτουργίες, συμπεριλαμβανομένων των Oracle Forms, Oracle HTTP Server, Oracle OpenSSO και Oracle Security Service. Η υψηλότερη CVSS βασική βαθμολογία που επηρεάζουν αυτά τα στοιχεία είναι 9.3.
Επόμενη στη σειρά είναι το Oracle Sun Systems Products Suite, το οποίο λαμβάνει 29 ενημερώσεις ασφαλείας για components όπως το Fujitsu M10-1, M10-4S Servers, M9000 Servers, Solaris, Solaris Cluster και SPARC Enterprise M3000.
Δέκα από τις ευπάθειες επιτρέπουν απομακρυσμένη εκμετάλλευση χωρίς έλεγχο ταυτότητας. Το πιο σημαντικό ζήτημα ασφάλειας έλαβε τη μέγιστη βαθμολογία των 10.
Η εταιρεία συμβουλεύει τους χρήστες να εγκαταστήσουν τις ενημερώσεις το συντομότερο δυνατό, ώστε να αποφευχθεί ο κίνδυνος επίθεσης.
Η κρίσιμη ενημέρωση ασφαλείας (Critical Patch Update) κυκλοφορεί από την Oracle σε τριμηνιαία βάση. Φέτος έχει προγραμματιστεί για την 20η Ιανουαρίου, 14η Απριλίου, 14η Ιουλίου και 20η Οκτωβρίου.
