Óriási javításgyűjteménnyel lepte meg ügyfeleit az Oracle; egy híján 300 biztonsági hibát iktatnak ki a patch-ek. Köztük néhány olyat is, amikről köztudottá vált, hogy az NSA a Solaris rendszerekbe való titkos behatolásra használta.
Azonnal frissítsen!
Mind a 299 biztonsági rést nem vesszük végig, de azért néhány kiemelt figyelmet érdemel. Különösen az Oracle által kritikusnak minősített sérülékenységeket kell komolyan venni, ezek esetében a vállalat azonnali frissítést sürget ügyfeleinél.
Ilyen például a CVE-2017-3622-es hiba, amely a Solaris 10 Common Desktop Environmentjében bújik meg. Az úgynevezett local privilege escalation hole az egyik sebezhetőség, melyet az amerikai Nemzetbiztonsági Hivatal EXTREMEPARR eszköze kiaknázott a sérülékeny rendszerek feletti ellenőrzés megszerzésére.
Az Oracle közlése szerint a Solaris 11-et használók megnyugodhatnak; abban az operációs rendszerben már nem létezik ez a biztonsági hiányosság. Ugyanakkor a Solaris 7-9 felhasználók potenciális veszélynek vannak kitéve. Ezeket a Sparc-on vagy x86 architektúrán futó platformokat ugyanis már nem támogatja az Oracle, így frissítéseket sem ad ki hozzá. Az érintetteknek ezért javasolt az újabb OS-re történő minél hamarabbi frissítés.
Hasonlóan ki tudják használni az amerikai kémek a CVE-2017-3623-as biztonsági hibát. Az EBBISLAND (más néven EBBSHAVE) eszközzel a Solaris 6-10 platformok támadhatók a kernel RPC sebezhetőség miatt. Sikeres kísérlet esetén root jogosultságot kaphat a távoli támadó. Sparc és x86 felhasználók egyaránt érintettek, de a Solaris 10-11 verziót használók nem, legalábbis abban az esetben, ha egy 2012 januárjában kiadott, kritikus fontosságú patch-et telepítettek.
Szinte a teljes termékskála érintett
Egy hétig tartott az Oracle-nek, mire hajlandó volt kibökni, hogy vajon az érintett biztonsági hibák között van-e olyan, ami sebezhetővé teszi a vállalat rendszereit az NSA nemrég nyilvánossá vált hackelő eszközkészlete előtt. Azzal próbálták elütni a dolog élét, hogy közölték, mivel az Oracle patch-ek gyakoriak és kumulatívak (azaz összegezve tartalmazzák a korábbi frissítéseket is), ezért egyetlen olyan Solaris 10 rendszer sincsen veszélynek kitéve, melyet 2016. január 26. óta legalább egyszer aktuális állapotra update-eltek.
Az NSA spyware-én túl tekintve a patch-ek az Oracle Database, Fusion Middleware, PeopleSoft suite, Oracle Communications eszközök, Oracle Financial Services szoftver megoldásokat érintik, illetve a Java SE, Oracle Linux és MySQL felhasználók számára is melegen ajánlott a minél előbb történő frissítés.
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak