Tegnap arról számoltunk be, hogy a Microsoft elérhetővé tette júliusi frissítéseit. A cég összesen négy biztonsági közlemény keretében öt sérülékenységet orvosolt a Windowsban, illetve az Office szoftvercsomagokban. Az Oracle azonban ennél egy jóval "izmosabb" frissítéssel rukkolt elő, amelynek révén számos, kritikus veszélyességű biztonsági rés befoltozására is sor került.
Az Oracle a legtöbb hibajavítást a Solaris-hoz tette elérhetővé. Ezek közül hét távolról is kihasználható, és anélkül ad lehetőséget a támadók számára a károkozásra, hogy azok ismernék az érintett rendszerekhez tartozó felhasználóneveket és jelszavakat. A javítások által az OpenSSO, a Solaris Studio, a Sun Convergence és a Glassfish Enterprise Server termékek is érintettek.
Az Oracle korábbi frissítéseinek alkalmával már megszokhattuk, hogy a Database termékek meglehetősen aktívan kiveszik a részüket a frissítésekből. Nem történt ez másként ezúttal sem, hiszen a cég fejlesztői összesen 13 patch-et tettek letölthetővé az adatbázisszerverek üzemeltetői számára. Ezek közül három a legveszélyesebb kategóriába tartozik, és mindenféle authentikáció nélkül tesznek lehetővé jogosulatlan távoli hozzáférést az adatbázisokhoz. Ezért e hibák az Oracle által alkalmazott CVSS (Common Vulnerability Scoring System) 10-es fokozatú veszélyességi skálán a maximális, 10-as kategóriába kerültek besorolásra.
Josh Shaul, az Application Security igazgatója külön kiemelte a CVE-2010-0902 jelzéssel ellátott sérülékenységet, amely ugyan megkövetel felhasználói azonosítást, azonban ezt követően a kihasználásával tulajdonképpen bármilyen jogosultsággal rendelkező személy adminisztrátorrá válhat. A támadó megtekintheti, illetve módosíthatja az adatbázisokat, valamint akár le is állíthatja a szervert.
A mostani frissítések a Solaris és a Database megoldások mellett érintik az Fusion Middleware, az E-Business Suite, a PeopleSoft és a JD Edwards alkalmazásokat is. Ezeken felül egy patch az Enterprise Managerhez is készült.
Az Oracle minden üzemeltető számára azt javasolta, hogy mihamarabb frissítsék a rendszereiket a károk megelőzése érdekében.
A hír a Computerworld biztonság rovatában jelent meg.
