Sono arrivati gli aggiornamenti dell’ultimo quadrimestre 2022 per i prodotti Oracle, il CPU (Critical Path Update) ottobre 2022. Anche questa volta gli interventi sono molti, ma non tutti i prodotti godranno di interventi sulla sicurezza. Da questo aggiornamento, infatti, vengono esclusi interventi sulla sicurezza per alcuni prodotti, benché vengano introdotti i correttivi per quelle componenti terze parti che ne facciano parte (componenti utilizzate da Oracle nella costruzione di tali prodotti), con CVE che risalgono fino al 2019 (es. la CVE-2019-10086). Le famiglie di prodotti affette da questa “esclusione” sono: Oracle Airlines Data Model, Oracle Big Data Graph, Oracle NoSQL Database, Oracle SQL Developer, Oracle TimesTen In-Memory Database. Non sembra essere un dramma: è auspicabile che la correzione delle componenti terze parti sia a tutela dell’intero prodotto. 

Il grosso degli interventi Oracle invece è stato distribuito su altre 27 famiglie di prodotti per le quali sono stati realizzati 370 aggiornamenti di sicurezza per l’eliminazione di 179 CVE. 56 delle correzioni sono classificate critiche (correggono 32 CVE critici), 144 di gravità elevata (correggono 57 CVE di gravità elevata) e 163 di medio impatto (correggono 83 CVE di gravità media). Rimangono 7 patch per altrettanti CVE di gravità bassa per il totale complessivo che dicevamo. 

La maggior parte dei correttivi (74 per il 20% del totale) riguardano la famiglia di prodotti Oracle Communications; segue Oracle fusion Middleware (56 patch per circa il 15% del totale) e Oracle MySQL (37 patch per circa il 10% del totale). Seguono via via altre famiglie di prodotti con numeri di problemi risolti decrescenti. 

Differenti famiglie di prodotti Oracle hanno così risolto quei problemi di sicurezza che potevano consentire uno sfruttamento da remoto privo di autenticazione: da sottolineare come questo tipo di problema copra in molti casi quasi la totalità dei problemi risolti in tali famiglie, a conferma dell’alta percentuale di vulnerabilità con gravità critica ed elevata che abbiamo indicato. 

In prospettiva possiamo notare come il numero di problemi che Oracle ha risolto nel tempo stanno diminuendo. Sul piano annuale abbiamo 854 correttivi prodotti nel 2022 contro i 921 prodotti nel 2021, con un decremento del 7% circa. Sul piano quadrimestrale per il solo 2022, vediamo come il numero di correttivi abbia mantenuto un andamento decrescente costante (a differenza del 2021 che ha avuto un andamento crescente, con un picco in aprile): dai 266 correttivi di gennaio si è scesi in aprile a 221, poi 188 in luglio ed infine i 179 di ottobre. Che sia un segno di miglioramento della qualità dei prodotti?  

E a proposito del calendario dei rilasci quadrimestrali dei correttivi, Oracle ha annunciato i prossimi rilasci CPU per l’anno 2023: il 17 gennaio, il 18 aprile, il 18 luglio e il 17 ottobre. Vedremo cosa ci riserveranno. 

Per il momento, per tutti coloro che utilizzino software Oracle, non resta che applicare questi aggiornamenti critici.

Tweet