Oracle u aprilskom CPU paketu zakrpio oko 450 ranjivosti
Oracle je u okviru aprilskog Critical Patch Update paketa objavio 481 bezbednosnu zakrpu kroz 28 porodica proizvoda. Prema navodima iz izveštaja, više od 300 ispravki odnosi se na propuste koji se mogu zloupotrebiti daljinski i bez autentikacije, dok je oko tri desetine označeno kao kritično. Najviše zakrpa dobili su Oracle Communications, Financial Services Applications i Fusion Middleware, a značajan broj ispravki objavljen je i za MySQL, PeopleSoft, E-Business Suite, Java SE i Database Server.
Kod ovakvih paketa problem nije samo broj CVE oznaka, već činjenica da veliki deo propusta pogađa proizvode koji stoje duboko u poslovnoj infrastrukturi. Kada stotine ranjivosti, uključujući daljinski iskoristive propuste bez prijave, budu zakrpljene odjednom, to je jasan signal da odlaganje ažuriranja brzo podiže rizik u produkciji.
- Odmah pregledati koji Oracle proizvodi u okruženju ulaze u aprilski CPU paket
- Dati prioritet zakrpama za servise izložene mreži, posebno tamo gde nije potrebna autentikacija za napad
- Proveriti zavisnosti i third-party komponente koje Oracle ažurira kroz isti paket
- Testirati zakrpe u kontrolisanom okruženju, ali bez nepotrebnog odlaganja produkcione primene
- Pratiti da li su pogođeni Identity Manager, Web Services Manager, Fusion Middleware i drugi centralni sistemi