Hatalmas javítócsomaggal jelentkezett a vállalat. Egy híján háromszáz hibára adott ki patchet.

Óriási javításgyűjteménnyel lepte meg ügyfeleit az Oracle; egy híján 300 biztonsági hibát iktatnak ki a patch-ek. Köztük néhány olyat is, amikről köztudottá vált, hogy az NSA a Solaris rendszerekbe való titkos behatolásra használta.

Azonnal frissítsen!

Mind a 299 biztonsági rést nem vesszük végig, de azért néhány kiemelt figyelmet érdemel. Különösen az Oracle által kritikusnak minősített sérülékenységeket kell komolyan venni, ezek esetében a vállalat azonnali frissítést sürget ügyfeleinél.

Ilyen például a CVE-2017-3622-es hiba, amely a Solaris 10 Common Desktop Environmentjében bújik meg. Az úgynevezett local privilege escalation hole az egyik sebezhetőség, melyet az amerikai Nemzetbiztonsági Hivatal EXTREMEPARR eszköze kiaknázott a sérülékeny rendszerek feletti ellenőrzés megszerzésére.

Az Oracle közlése szerint a Solaris 11-et használók megnyugodhatnak; abban az operációs rendszerben már nem létezik ez a biztonsági hiányosság. Ugyanakkor a Solaris 7-9 felhasználók potenciális veszélynek vannak kitéve. Ezeket a Sparc-on vagy x86 architektúrán futó platformokat ugyanis már nem támogatja az Oracle, így frissítéseket sem ad ki hozzá. Az érintetteknek ezért javasolt az újabb OS-re történő minél hamarabbi frissítés.

Hasonlóan ki tudják használni az amerikai kémek a CVE-2017-3623-as biztonsági hibát. Az EBBISLAND (más néven EBBSHAVE) eszközzel a Solaris 6-10 platformok támadhatók a kernel RPC sebezhetőség miatt. Sikeres kísérlet esetén root jogosultságot kaphat a távoli támadó. Sparc és x86 felhasználók egyaránt érintettek, de a Solaris 10-11 verziót használók nem, legalábbis abban az esetben, ha egy 2012 januárjában kiadott, kritikus fontosságú patch-et telepítettek.

Szinte a teljes termékskála érintett

Egy hétig tartott az Oracle-nek, mire hajlandó volt kibökni, hogy vajon az érintett biztonsági hibák között van-e olyan, ami sebezhetővé teszi a vállalat rendszereit az NSA nemrég nyilvánossá vált hackelő eszközkészlete előtt. Azzal próbálták elütni a dolog élét, hogy közölték, mivel az Oracle patch-ek gyakoriak és kumulatívak (azaz összegezve tartalmazzák a korábbi frissítéseket is), ezért egyetlen olyan Solaris 10 rendszer sincsen veszélynek kitéve, melyet 2016. január 26. óta legalább egyszer aktuális állapotra update-eltek.

Az NSA spyware-én túl tekintve a patch-ek az Oracle Database, Fusion Middleware, PeopleSoft suite, Oracle Communications eszközök, Oracle Financial Services szoftver megoldásokat érintik, illetve a Java SE, Oracle Linux és MySQL felhasználók számára is melegen ajánlott a minél előbb történő frissítés.

Biztonság

Bill Gates lecserélte Windows Phone-ját. Na de mire?

IPhone vagy Android telefonra szavazott a Microsoft alapítója? Az egyiktől továbbra is nagyon fázik a cégvezér.
 
A világ biztosítási piaca közel 5 ezer milliárd dollár. Ennek egy részét hamarosan elvehetik az insurtech cégek. De ez mindkét félnek kemény küzdelem lesz.

a melléklet támogatója a Balasys

Hirdetés

Most készüljön fel a fintech világ biztonsági kockázataira!

A pár éve kitört fintech-láz, valamint a jövő év elején életbe lépő PSD2 nem csak a pénzügyi piacok üzleti modelljét borítja meg. A biztonsági kérdéseket is sürgősen újra kell gondolniuk a piac szereplőinek.

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2017 Bitport.hu Média Kft. Minden jog fenntartva.