Java

Oracle lukker 252 sikkerhedshuller

Dansk

Årets sidste kvartalsvise sikkerhedsopdatering fra Oracle lukker 252 sikkerhedshuller. 155 af dem findes i Oracle Applications.

De alvorligste findes i Oracle Hospitality Reporting and Analytics, hvor to sårbarheder har fået en CVSS-score (Common Vulnerability Scoring System) på de maksimale 10. Samme score har en sårbarhed i Siebel Apps – Field Service fået.

Opdateringen lukker 22 sikkerhedshuller i Java SE. 20 af dem kan udnyttes over netværk af en angriber uden autentifikation. Den alvorligste har en CVSS-score på 9,6.

Apache Struts lukker alvorligt sikkerhedshul

Dansk

Udviklerne af Apache Struts har lukket tre sikkerhedshuller. Et af dem er kritisk, idet angribere kan udnytte REST-pluginnet til at afvikle skadelig programkode.

Flere angrebsprogrammer, der udnytter sårbarheden, er lagt ud på nettet.

Sårbarheden ligger i deserialization i Java.

En række store virksomheder anvender Struts og er dermed mulige angrebsmål.

Fejlene er rettet i Apache Struts 2.5.13.

Anbefaling

Opdater til Apache Struts 2.5.13.

Oracle lukker 308 sikkerhedshuller

Dansk

Dermed er det den hidtil mest omfattende samling rettelser, siden Oracle begyndte at udsende kvartalsvise rettelser i form af Critical Patch Updates.

165 af sårbarhederne kan udnyttes af udefrakommende angribere.

120 sårbarheder findes i Oracle E-Business Suite.

Der er 17 rettelser til Java, heraf tre kritiske. Fejlene er rettet i Java 8 Update 141.

MySQL har fået 30 rettelser, hvoraf de tre lukker kritiske huller.

Rettelserne blev udsendt den 18. juli.

Anbefaling

Test og installer opdateringerne.

Oracle lukker 299 sikkerhedshuller

Dansk

MySQL tegner sig for 13 procent af rettelserne i april kvartals sikkerhedsrettelser fra Oracle. 11 af de 39 sårbarheder i MySQL kan udnyttes over nettet, uden at angriberen har en konto på systemet.

37 procent af rettelserne er til Oracles brancheløsninger og til Fusion Middleware. De fleste af dem kan udnyttes over netværk uden en brugerkonto.

25 af rettelserne lukker huller relateret til en kendt sårbarhed i Apache Struts.

Der er otte rettelser til Java SE, hvoraf de syv kan udnyttes over netværk uden en brugerkonto. Fejlene er rettet i Java 8 Update 131.

FTP-sårbarhed i Java og Python giver adgang gennem firewalls

Dansk

I Java ligger sårbarheden i funktionen XML eXternal Entity (XEE), som gør det muligt at hente eksterne XML-data. Data kan blandt andet hentes via FTP.

Implementeringen af FTP i XEE filtrerer ikke linjeskift fra. Derfor er det muligt at indsætte kommandoer i en FTP-URL.

Sikkerhedsforsker Alexander Klink har demonstreret, hvordan sårbarheden kan bruges til at sende kommandoer til en mailserver og dermed sende e-mails fra offerets server.

Sikkerhedsforsker Timothy Morgan har opdaget, at der er videre perspektiver ved sårbarheden, som både findes i Java og i Python.

Oracle lukker 270 sikkerhedshuller

Dansk

Der er 17 sikkerhedsrettelser til Java. 16 af sårbarhederne kan udnyttes over netværk af en ikke-autentificeret bruger.

MySQL får 27 rettelser, hvoraf fem kan udnyttes af udefrakommende angribere.

Over 100 af rettelserne er til sårbarheder i Oracle E-Business Suite.

I alt er der 16 kritiske sårbarheder i kvartalets rettelser. En af dem har fået den højeste mulige CVSS-score (Common Vulnerability Scoring System) på 10.

Anbefaling

Test og installer sikkerhedsopdateringerne fra Oracle.

Websikkerhed

Hvordan beskytter jeg min webside?

Din webside ligger sandsynligvis på et webhotel. Udbyderen er ansvarlig for sikkerheden på selve webhotellet. Hvis du har installeret programmer på serveren, er du selv ansvarlig for at holde dem opdateret og sikre. Det gælder også udvidelser og plugins til CMS'er (Content Management System). Sørg for at tage backup, så du kan gendanne data, hvis det bliver nødvendigt.

Hvad er SQL-indsætning?

SQL-indsætning er en udbredt form for sårbarhed i web-applikationer. Den giver angribere mulighed for at afvikle databasekommandoer.

Dansk

Oracle vil lukke 247 huller i næste uge

Dansk

Tirsdag aften udsender Oracle 247 sikkerhedsrettelser, der skal lukke sikkerhedshuller i 73 produkter.

Administratorer af Oracle-systemer får en travl efterårsferieuge. De skal installere opdateringer til de berørte produkter.

Blandt rettelserne er 28 til Fusion Middleware. Den alvorligste sårbarhed har fået en CVSS-score (Common Vulnerability Scoring System) på 9,8. 18 af sårbarhederne kan udnyttes over et netværk uden at oplyse brugernavn og password.

Keywords: 
Abonnér på RSS - Java