Óriási javításgyűjteménnyel lepte meg ügyfeleit az Oracle; egy híján 300 biztonsági hibát iktatnak ki a patch-ek. Köztük néhány olyat is, amikről köztudottá vált, hogy az NSA a Solaris rendszerekbe való titkos behatolásra használta.

Azonnal frissítsen!

Mind a 299 biztonsági rést nem vesszük végig, de azért néhány kiemelt figyelmet érdemel. Különösen az Oracle által kritikusnak minősített sérülékenységeket kell komolyan venni, ezek esetében a vállalat azonnali frissítést sürget ügyfeleinél.

Ilyen például a CVE-2017-3622-es hiba, amely a Solaris 10 Common Desktop Environmentjében bújik meg. Az úgynevezett local privilege escalation hole az egyik sebezhetőség, melyet az amerikai Nemzetbiztonsági Hivatal EXTREMEPARR eszköze kiaknázott a sérülékeny rendszerek feletti ellenőrzés megszerzésére.

Az Oracle közlése szerint a Solaris 11-et használók megnyugodhatnak; abban az operációs rendszerben már nem létezik ez a biztonsági hiányosság. Ugyanakkor a Solaris 7-9 felhasználók potenciális veszélynek vannak kitéve. Ezeket a Sparc-on vagy x86 architektúrán futó platformokat ugyanis már nem támogatja az Oracle, így frissítéseket sem ad ki hozzá. Az érintetteknek ezért javasolt az újabb OS-re történő minél hamarabbi frissítés.

Hasonlóan ki tudják használni az amerikai kémek a CVE-2017-3623-as biztonsági hibát. Az EBBISLAND (más néven EBBSHAVE) eszközzel a Solaris 6-10 platformok támadhatók a kernel RPC sebezhetőség miatt. Sikeres kísérlet esetén root jogosultságot kaphat a távoli támadó. Sparc és x86 felhasználók egyaránt érintettek, de a Solaris 10-11 verziót használók nem, legalábbis abban az esetben, ha egy 2012 januárjában kiadott, kritikus fontosságú patch-et telepítettek.

Szinte a teljes termékskála érintett

Egy hétig tartott az Oracle-nek, mire hajlandó volt kibökni, hogy vajon az érintett biztonsági hibák között van-e olyan, ami sebezhetővé teszi a vállalat rendszereit az NSA nemrég nyilvánossá vált hackelő eszközkészlete előtt. Azzal próbálták elütni a dolog élét, hogy közölték, mivel az Oracle patch-ek gyakoriak és kumulatívak (azaz összegezve tartalmazzák a korábbi frissítéseket is), ezért egyetlen olyan Solaris 10 rendszer sincsen veszélynek kitéve, melyet 2016. január 26. óta legalább egyszer aktuális állapotra update-eltek.

Az NSA spyware-én túl tekintve a patch-ek az Oracle Database, Fusion Middleware, PeopleSoft suite, Oracle Communications eszközök, Oracle Financial Services szoftver megoldásokat érintik, illetve a Java SE, Oracle Linux és MySQL felhasználók számára is melegen ajánlott a minél előbb történő frissítés.