Η Oracle θα κυκλοφορήσει ενημερώσεις ασφαλείας (patch Ιανουαρίου 2025) για να διορθώσει 320 νέες ευπάθειες που επηρεάζουν περισσότερα από 90 προϊόντα και υπηρεσίες σε 27 κατηγορίες.

Οι κατηγορίες προϊόντων περιλαμβάνουν εφαρμογές Communications, Construction και Engineering appliances, middleware και διακομιστές, καθώς και προϊόντα και υπηρεσίες που ανήκουν στο Oracle E-Business Suite.
Σύμφωνα με μια ανακοίνωση (πριν από την κυκλοφορία των ενημερώσεων), οι ευπάθειες, που διορθώνονται στο patch Ιανουαρίου της Oracle, καλύπτουν όλο το φάσμα της κλίμακας σοβαρότητας CVSS. Υπάρχουν ευπάθειες με χαμηλές βαθμολογίες αλλά και άλλες που θεωρούνται κρίσιμες.
Δείτε επίσης: Η ευπάθεια OpenVPN Easy-RSA ενεργοποιεί Bruteforce
Τα πιο κρίσιμα ελαττώματα, με βαθμολογία CVSS 9,9, επηρεάζουν τη σειρά προϊόντων Oracle Supply Chain, τα Oracle Agile Engineering Data Management έκδοση 6.2.1 και Oracle Agile PLM Framework έκδοση 9.3.6.
Υπάρχουν ακόμα πέντε ευπάθειες (τουλάχιστον) με βαθμολογία CVSS 9,8.
Η Oracle συνιστά στους πελάτες να εφαρμόζουν τις ενημερώσεις το συντομότερο δυνατό, για να διατηρήσουν τα συστήματά τους ασφαλή.
Νωρίτερα τον Ιανουάριο, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) πρόσθεσε στον Κατάλογο Γνωστών Εκμεταλλευομένων Ευπαθειών μια παλαιότερη ευπάθεια του Oracle WebLogic Server (CVE-2020-2883). Αυτή η ευπάθεια έχει διορθωθεί εδώ και χρόνια, αλλά εξακολουθούν να υπάρχουν δίκτυα που δεν έχουν εφαρμόσει τις ενημερώσεις.
Δείτε επίσης: Ευπάθεια υπερχείλισης buffer του TP-Link αξιοποιείται για εκτέλεση κώδικα

Τα τελευταία χρόνια, ο αριθμός των αναφερόμενων ευπαθειών στα συστήματα λογισμικού αυξάνεται σταθερά, καθιστώντας την τακτική ενημέρωση βασικό μέρος της στρατηγικής ασφαλείας οποιουδήποτε οργανισμού. Αυτό ισχύει ιδιαίτερα για μεγάλους οργανισμούς με εκτεταμένες υποδομές πληροφορικής, όπως αυτοί που βασίζονται σε προϊόντα Oracle. Ο τεράστιος όγκος και η πολυπλοκότητα αυτών των συστημάτων τα καθιστούν ελκυστικούς στόχους για εισβολείς στον κυβερνοχώρο που επιδιώκουν να εκμεταλλευτούν τυχόν αδυναμίες για οικονομικό κέρδος ή κυβερνοκατασκοπεία. Ως εκ τούτου, είναι σημαντικό για τους οργανισμούς να παραμείνουν σε εγρήγορση και να διατηρούν τα συστήματά τους ενημερωμένα με τις πιο πρόσφατες ενημερώσεις κώδικα.
Δείτε επίσης: ChatGPT Crawler: Ευπάθεια επιτρέπει DDoS επιθέσεις σε ιστότοπους
Είναι, επίσης, σημαντικό για τους οργανισμούς να διαθέτουν ένα ισχυρό πρόγραμμα διαχείρισης ευπαθειών. Αυτό περιλαμβάνει τακτικές αξιολογήσεις ευπάθειας, penetration testing και εφαρμογή ασφαλών πρακτικών coding κατά την ανάπτυξη λογισμικού.
πηγή:www.infosecurity-magazine.com