Dopo Microsoft, anche un altro dei Big del mondo IT come Oracle corre pesantemente ai ripari per i guai al suo esteso parco software; faremmo prima ad elencare i prodotti non coinvolti che quelli coinvolti in questo mega aggiornamento. 

Si tratta infatti di una quantità considerevole di correzioni, per relativi problemi di funzionalità e di sicurezza, questi ultimi censiti attraverso CVE che riguardano prevalentemente il 2021 e 2022, ma anche qualcosa ancora del 2019 e 2020. 

Il secondo aggiornamento trimestrale rilasciato da Oracle, il Critical Patch Update (CPU) aprile 2022, porta con sé 520 patch, corregge difetti per 221 CVE, di cui “solo” 27 di natura critica (per la cui risoluzione sono state coinvolte ben 77 patch), il 14,8% dell’intera patch. 

L’elenco completo e i dettagli possono essere letti nell’avviso pubblicato da Oracle stessa all’indirizzo https://www.oracle.com/security-alerts/cpuapr2022.html; mettetevi comodi, perché c’è molto da leggere. 

Le correzioni riguardano ben 31 famiglie di prodotti Oracle, tra cui non tutto software proprietario, ma anche buona parte di software terze parti incluso nei prodotti Oracle (si pensi a tutti i prodotti Open Source utilizzati dal gigante high-tech come tomcat, log4J, jakarta, ecc). Rimangono esclusi dalle correzioni, dicevamo, solo i seguenti prodotti: Oracle Global Lifecycle Management, Oracle NoSQL Database, e Oracle Secure Backup. In ogni caso, per questi, Oracle dichiara di aver comunque inglobato i correttivi (patch) forniti per queste componenti dalle terze parti. In particolare vengono risolte le vulnerabilità legate all’esecuzione di codice in Apache Log4j denominata Log4Shell che conosciamo da dicembre 2021. 

Particolare interesse è rivolto a tre CVE che hanno ottenuto il più alto punteggio CVSS possibile, 10.0. 

Si tratta delle vulnerabilità sancite dal CVE-2022-22947, CVE-2022-21431 ed in particolare dal CVE-2022-21449, che Oracle ha in realtà rivalutato 7.5 rispetto all’originale 10.0 valutato dagli analisti indipendenti. 

Il CVE-2022-22947 descrive una vulnerabilità della famiglia Oracle Communications: la vulnerabilità può essere sfruttata da un malintenzionato non autenticato che abbia accesso alla rete tramite http, consentendogli di sfruttare codice arbitrario quando l’attuatore del Gateway Spring Cloud è abilitato e non protetto. 

Il CVE-2022-21431 descrive la vulnerabilità della componente Connection Manager di Oracle Communication Billing and Revenue Management; può essere sfruttata da un malintenzionato non autenticato con accesso via rete tramite TCP ed ottenere pieno controllo del servizio. Oracle indica che tale sfruttamento potrebbe “incidere in modo significativo su prodotti aggiuntivi”, quindi non limitarsi al solo Communication Billing and Revenue Management. 

Infine il contestato (punteggio) per il CVE-2022-21449: questo descrive la vulnerabilità della firma crittografica in Java 15, 16, 17 e 18, una vulnerabilità facilmente sfruttabila che consente ad un utente malintenzionato non autenticato con accesso via rete (tramite più protocolli) di compromettere Oracle Java SE e Oracle GraalVM Enterprise Edition. Il successo di un attacco tramite questa vulnerabilità comporta la creazione, eliminazione o la modifica non autorizzata di dati critici o di tutti i dati accessibili dei suddetti prodotti. Non è chiaro per quale motivo Oracle abbia ritenuto di sottostimare la gravità di questo CVE. 

In ogni caso non ci resta che applicare quanto prima questa serie di aggiornamenti ai nostri prodotti Oracle.

Tweet