c.m.g
17-04-2008, 09:32
giovedì 17 aprile 2008
Redwood Shores (USA) - Ieri Oracle (http://www.oracle.com/) ha rilasciato il suo secondo Critical Patch Update dall'inizio dell'anno, un aggiornamento che corregge 41 vulnerabilità di sicurezza in molti prodotti, inclusi i ben noti database e application server del gigante californiano.
Visionando la matrice di rischio pubblicata nell'advisory ufficiale (http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.html), emerge che 15 falle possono essere sfruttate in modalità remota, senza la necessità di possedere un account locale.
Le vulnerabilità relative ai database sono 17, due delle quali sfruttabili a distanza. Il resto dei fix interessano le linee di prodotti Application Server, Collaboration Suite ed E-Business Suite di Oracle, nonché i software delle famiglie PeopleSoft e Siebel.
Secondo quanto spiegato da Slavik Markovich, CTO della società di sicurezza Sentrigo (http://www.sentrigo.com/), alcune delle vulnerabilità più gravi possono essere innescate mediante attacchi di SQL injection (http://it.wikipedia.org/wiki/SQL_injection), con cui un aggressore potrebbe elevare i propri privilegi e rubare dati sensibili come i numeri delle carte di credito. Due di questi attacchi, ha spiegato Markovich, possono essere diretti contro la tecnologia Advanced Queuing (http://en.wikipedia.org/wiki/Oracle_Advanced_Queuing) adottata dai database di Oracle.
Gli esperti di sicurezza raccomandano agli amministratori di sistema di installare solo i moduli e i componenti strettamente necessari, così da ridurre la superficie di attacco. Il fatto che ogni trimestre Oracle si ritrovi a correggere decine di vulnerabilità, sostiene Markovich, è da imputare all'imponente base di codice dei suoi applicativi, base di codice che diventa ancor più estesa ed eterogenea se si considerano i numerosi moduli addizionali.
Lo scorso gennaio Oracle aveva rilasciato 26 patch di sicurezza, mentre nell'update di ottobre (http://punto-informatico.it/p.aspx?i=2089005) i fix erano stati 51.
Fonte: Punto Informatico (http://punto-informatico.it/2258170/PI/News/Oracle-sistema-41-falle-di-sicurezza/p.aspx)
Redwood Shores (USA) - Ieri Oracle (http://www.oracle.com/) ha rilasciato il suo secondo Critical Patch Update dall'inizio dell'anno, un aggiornamento che corregge 41 vulnerabilità di sicurezza in molti prodotti, inclusi i ben noti database e application server del gigante californiano.
Visionando la matrice di rischio pubblicata nell'advisory ufficiale (http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.html), emerge che 15 falle possono essere sfruttate in modalità remota, senza la necessità di possedere un account locale.
Le vulnerabilità relative ai database sono 17, due delle quali sfruttabili a distanza. Il resto dei fix interessano le linee di prodotti Application Server, Collaboration Suite ed E-Business Suite di Oracle, nonché i software delle famiglie PeopleSoft e Siebel.
Secondo quanto spiegato da Slavik Markovich, CTO della società di sicurezza Sentrigo (http://www.sentrigo.com/), alcune delle vulnerabilità più gravi possono essere innescate mediante attacchi di SQL injection (http://it.wikipedia.org/wiki/SQL_injection), con cui un aggressore potrebbe elevare i propri privilegi e rubare dati sensibili come i numeri delle carte di credito. Due di questi attacchi, ha spiegato Markovich, possono essere diretti contro la tecnologia Advanced Queuing (http://en.wikipedia.org/wiki/Oracle_Advanced_Queuing) adottata dai database di Oracle.
Gli esperti di sicurezza raccomandano agli amministratori di sistema di installare solo i moduli e i componenti strettamente necessari, così da ridurre la superficie di attacco. Il fatto che ogni trimestre Oracle si ritrovi a correggere decine di vulnerabilità, sostiene Markovich, è da imputare all'imponente base di codice dei suoi applicativi, base di codice che diventa ancor più estesa ed eterogenea se si considerano i numerosi moduli addizionali.
Lo scorso gennaio Oracle aveva rilasciato 26 patch di sicurezza, mentre nell'update di ottobre (http://punto-informatico.it/p.aspx?i=2089005) i fix erano stati 51.
Fonte: Punto Informatico (http://punto-informatico.it/2258170/PI/News/Oracle-sistema-41-falle-di-sicurezza/p.aspx)