Artikel top billede

Oracle patcher 41 sikkerhedsfejl

Oracle udgiver nu 41 sikkerhedsrettelser til sit database-flagskib og adskillige andre produkter, inklusiv 15 patches af sårbarheder, der kan fjernudnyttes uden brugernavn eller password.

Computerworld News Service: Tilstedeværelsen af sårbarheder, der kan udnyttes uden autentificering "betyder, at ens database er på herrens mark, med mindre man installerer denne patch," udtaler Slavik markovich, teknologichef for databasesikkerhedsvirksomheden Sentrigo.

17 af de 41 sikkerhedsrettelser, der blev udsendt tirsdag, er til Oracles databaseprodukter, to af dem er af sårbarheder, der kan fjernudnyttes over netværk uden autentificering. Resten af rettelserne er spredt over Oracles Application Server, Collaboration Suite og E-Business Suite samt virksomhedens PeopleSoft- og Siebelsoftware.

SQL-injections er blandt de angreb, som kunder risikerer, hvis ikke de installerer disse patches, oplyser Slavik Markovich.

Teknologien Advanced Queuing i Oracles database er blevet forbundet med SQL-injections, hvor ondsindede brugere opnår forhøjede rettigheder og stjæler data såsom kreditkortinformationer, udtaler han. To sårbarheder relateret til databasekomponenten Advanced Queuing er anført i den kvartalsvise kritiske patchopdatering fra i tirsdags.

Installer kun det nødvendige

De 41 rettelser overstiger de 26 sikkerhedsfejl, der blev rettet i den sidste patchopdatering fra januar, men er mindre end de 51 patches, der blev udgivet af Oracle sidste oktober. Markovich ser ingen tegn på, at der bliver færre sårbarheder, som tiden går.

"Det ser ud til, at databasen indeholder så mange moduler og så mange linjer kode, at jeg faktisk forventer, at rettelserne forbliver i dette tempo," siger han.

Oracles databasekunder kan undgå nogle af problemerne fra starten af ved ikke at installere de moduler, som de ikke får brug for, ifølge Markovich. Brugere kommer i problemer, når de installerer samtlige dataabase-komponenter, selv når det ikke er nødvendigt.

"Ved at have unødvendige moduler i databasen forøger man sine sårbare overflader," udtaler Markovich.

Blandt sårbarhederne i Oracles database påvirker de to, der kan fjernudnyttes uden brugernavn og password, databasens autentificeringssystem og Oracle Application Express, som er et udviklingsværktøj til databasen til at lave webapplikationer i.

11 sikkerhedsrettelser er anført til Oracle E-Business Suite og relaterede applikationer, inklusiv syv, der kan udnyttes uden autentificering. Alle tre sikkerhedsrettelser, der påvirker Oracle Application Server, kan fjernudnyttes uden autentificering.

Seks rettelser, inklusiv tre af sårbarheder, der kan udnyttes uden autentificering, påvirker Oracle Siebel Enterprise Suites SimBuilder, et værktøj til udvikling af indhold af online læringsprogrammer. Tre rettelser påvirker PeopleSoft-værktøjer, og en påvirker Oracle Enterprise Manager.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Security Summit 2025: Her er truslerne – og sådan beskytter du dine kritiske data

Deltag og få værktøjer til at beskytte din virksomhed mod de nyeste cybertrusler med den rette viden og teknologi.

19. august 2025 | Læs mere


Cyber Security Summit 2025 i Jylland

Deltag og få værktøjer til at beskytte din virksomhed mod de nyeste cybertrusler med den rette viden og teknologi.

21. august 2025 | Læs mere


AI i det offentlige: Potentiale, erfaringer og krav

Hør erfaringerne med at anvende AI til at transformere og effektivisere processer i det offentlige – og med at sikre datakvalitet, governance og overholdelse af retningslinjer.

27. august 2025 | Læs mere