Nuovo impegno titanico per Oracle

News
Visite: 6845

Dopo il grande lavoro effettuato ad aprile di quest’anno per risolvere una grande quantità di problemi, anche questo mese di luglio è stato rovente per Oracle. 

Con la Critical Patch Update (CPU) July 2022 19 ha dato soluzione a ben 188 vulnerabilità note censite in altrettanti CVE. 

Si è trattato ancora una volta di un impegno notevole per la sicurezza che ha prodotto ben 349 aggiornamenti di sicurezza in 32 differenti famiglie di prodotti del vendor. 

In particolare parliamo di 66 correttivi per vulnerabilità definite critiche, 146 correttivi per vulnerabilità definite di gravità elevata, 133 correttivi per vulnerabilità di gravità media e 4 per vulnerabilità di criticità bassa. 

In termini di CVE, i correttivi risolvono 29 vulnerabilità critiche, 65 vulnerabilità elevate, 90 vulnerabilità di media gravità e i 4 correttivi per altrettante 4 vulnerabilità. 

In questa occasione la famiglia software Oracle maggiormente affetta da problemi di sicurezza è stata la famiglia di prodotti Oracle Financial Services Application, che ha necessitato di 59 correttivi, il 16.9% del totale degli interventi. 

La seconda famiglia (56 correttivi, pari al 16.0%) è stata la Oracle Communications. 

Benché non abbia risolto problemi di sicurezza delle componenti software proprietarie, anche in questa occasione Oracle ha incluso altresì le correzioni del software terze parti incluso nelle famiglie del suo software; si tratta di Oracle Autonomous Health Framework, Oracle Berkeley DB, Oracle Blockchain Platform, Oracle NoSQL Database, e Oracle SQL Developer (CVE-2021-41495, CVE-2021-41496, CVE-2021-29396, CVE-2021-29921, CVE-2020-36518, CVE-2021-4104, CVE-2022-23302, CVE-2022-23305, CVE-2022-23307, CVE-2021-41617, CVE-2021-43797, CVE-2021-31811, CVE-2021-31812). 

La quantità di problemi risolti nelle famiglie di software Oracle coinvolte in questo CPU è difficile da sintetizzare in poche parole; per i più curiosi si può avere un dettaglio direttamente da Oracle nel suo bollettino di sicurezza https://www.oracle.com/security-alerts/cpujul2022.html

Quello che è importante notare invece è l’elevata percentuale di casi in cui è ritenuto possibile lo sfruttamento da remoto in assenza di autenticazione in ciascuno dei prodotti oggetto di correzione. Per fare un esempio, la famiglia Oracle Financial Services Application (la più colpita, con 59 difetti) soffre di ben 38 casi in cui il difetto può portare a tale tipo di sfruttamento. Il caso più estremo, in un panorama non migliore, è rappresentato dalla famiglia Oracle Enterprise Manager, che, benché affetta da un numero ristretto di problemi (6), presenta il 100% di difetti che portano allo sfruttamento remoto privo di autenticazione. 

Questa CPU corregge anche la vulnerabilità Spring4Shell (CVE-2022-22965), una vulnerabilità che consente una esecuzione remota di codice nel Framework Spring Core già nota in marzo. Lo fa in differenti famiglie di software: Oracle Commerce Platform, Oracle Communications Unified Inventory Management, Oracle Communications Billing and Revenue Management - Elastic Charging Engine, Oracle Communications Cloud Native Core Binding Support Function, Oracle Communications Cloud Native Core Security Edge Protection Proxy, Oracle Communications Cloud Native Core Service Communication Proxy, Oracle Primavera Gateway, Oracle Enterprise Manager for MySQL Database, Oracle WebLogic Server, Oracle BI Publisher, Oracle Business Intelligence Enterprise Edition, Oracle Data Integrator, Oracle Identity Management Suite, Oracle Identity Manager Connector, Oracle Middleware Common Libraries and Tools, Oracle Retail Bulk Data Integration, Oracle Retail Customer Management and Segmentation Foundation, Oracle Retail Financial Integration, Oracle Retail Integration Bus e Oracle Retail Merchandising System. 

Questo meccanismo di aggiornamenti periodici di Oracle, il CPU, viene in alcune circostanze intervallato da allarmi di sicurezza, come è stato a maggio di quest’anno. In quell’occasione (vedi https://www.oracle.com/security-alerts/alert-cve-2022-21500.html) si è annunciata la vulnerabilità CVE-2022-21500 a carico della Oracle E-Business Suite in versione 12.2, vulnerabilità che poteva consentire ad un attaccante di registrare se stesso come nuovo account in un sistema Oracle E-Business Suite pubblicamente accessibile, consentendo così all’attaccante di inserirsi nel sistema e ottenere informazioni personali (nome, cognome, email e potenzialmente informazioni maggiormente sensibili) dei dipendenti aziendali registrati nel sistema. Per tutti coloro che non abbiano installato le correzioni a seguito dell’allerta di maggio, questa CPU di luglio potrà essere utilizzata per porre rimedio alla dimenticanza. 

Insomma, un bel da fare per Oracle. 

Pin It
,

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber pillole più lette

Articoli più letti

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.