[NEWS] Oracle sistema 41 falle di sicurezza

c.m.g · 17-04-2008, 08:32

giovedì 17 aprile 2008

Redwood Shores (USA) - Ieri Oracle ha rilasciato il suo secondo Critical Patch Update dall'inizio dell'anno, un aggiornamento che corregge 41 vulnerabilità di sicurezza in molti prodotti, inclusi i ben noti database e application server del gigante californiano.

Visionando la matrice di rischio pubblicata nell'advisory ufficiale, emerge che 15 falle possono essere sfruttate in modalità remota, senza la necessità di possedere un account locale.

Le vulnerabilità relative ai database sono 17, due delle quali sfruttabili a distanza. Il resto dei fix interessano le linee di prodotti Application Server, Collaboration Suite ed E-Business Suite di Oracle, nonché i software delle famiglie PeopleSoft e Siebel.

Secondo quanto spiegato da Slavik Markovich, CTO della società di sicurezza Sentrigo, alcune delle vulnerabilità più gravi possono essere innescate mediante attacchi di SQL injection, con cui un aggressore potrebbe elevare i propri privilegi e rubare dati sensibili come i numeri delle carte di credito. Due di questi attacchi, ha spiegato Markovich, possono essere diretti contro la tecnologia Advanced Queuing adottata dai database di Oracle.

Gli esperti di sicurezza raccomandano agli amministratori di sistema di installare solo i moduli e i componenti strettamente necessari, così da ridurre la superficie di attacco. Il fatto che ogni trimestre Oracle si ritrovi a correggere decine di vulnerabilità, sostiene Markovich, è da imputare all'imponente base di codice dei suoi applicativi, base di codice che diventa ancor più estesa ed eterogenea se si considerano i numerosi moduli addizionali.

Lo scorso gennaio Oracle aveva rilasciato 26 patch di sicurezza, mentre nell'update di ottobre i fix erano stati 51.

Fonte: Punto Informatico

c.m.g · 17-04-2008, 08:33

ripreso da security focus:

http://www.securityfocus.com/bid/28725

secunia:

http://secunia.com/advisories/29829/

17-04-2008, 08:32	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] Oracle sistema 41 falle di sicurezza giovedì 17 aprile 2008 Redwood Shores (USA) - Ieri Oracle ha rilasciato il suo secondo Critical Patch Update dall'inizio dell'anno, un aggiornamento che corregge 41 vulnerabilità di sicurezza in molti prodotti, inclusi i ben noti database e application server del gigante californiano. Visionando la matrice di rischio pubblicata nell'advisory ufficiale, emerge che 15 falle possono essere sfruttate in modalità remota, senza la necessità di possedere un account locale. Le vulnerabilità relative ai database sono 17, due delle quali sfruttabili a distanza. Il resto dei fix interessano le linee di prodotti Application Server, Collaboration Suite ed E-Business Suite di Oracle, nonché i software delle famiglie PeopleSoft e Siebel. Secondo quanto spiegato da Slavik Markovich, CTO della società di sicurezza Sentrigo, alcune delle vulnerabilità più gravi possono essere innescate mediante attacchi di SQL injection, con cui un aggressore potrebbe elevare i propri privilegi e rubare dati sensibili come i numeri delle carte di credito. Due di questi attacchi, ha spiegato Markovich, possono essere diretti contro la tecnologia Advanced Queuing adottata dai database di Oracle. Gli esperti di sicurezza raccomandano agli amministratori di sistema di installare solo i moduli e i componenti strettamente necessari, così da ridurre la superficie di attacco. Il fatto che ogni trimestre Oracle si ritrovi a correggere decine di vulnerabilità, sostiene Markovich, è da imputare all'imponente base di codice dei suoi applicativi, base di codice che diventa ancor più estesa ed eterogenea se si considerano i numerosi moduli addizionali. Lo scorso gennaio Oracle aveva rilasciato 26 patch di sicurezza, mentre nell'update di ottobre i fix erano stati 51. Fonte: Punto Informatico __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

17-04-2008, 08:33	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	ripreso da security focus: http://www.securityfocus.com/bid/28725 secunia: http://secunia.com/advisories/29829/ __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email