giovedì 16 aprile 2015

Oracle rilascia 98 security patch e termina update pubblici per Java 7


Microsoft ha rilasciato 11 aggiornamenti di sicurezza per il Patch day di aprile 2015. Gli aggiornamenti vengono pubblicati regolarmente dalla società il secondo Martedì di ogni mese. Contemporaneamente agli update di Microsoft anche Adobe ha distribuito tre aggiornamenti per chiudere diversi bug nei suoi prodotti, tra cui Flash Player. Ed Oracle ha rilasciato nella sua ultima versione di security update trimestrale, un totale di 98 patch di sicurezza in una vasta gamma di prodotti, tra cui 14 in Java.

Questo segna l'ultima distribuzione pubblica degli update per Java SE 7 e gli utenti sono invitati ad aggiornare alla versione 8. Tre delle vulnerabilità del Java patch di aprile 2015 hanno il punteggio massimo di gravità di 10 nel Common Vulnerability Scoring System (CVSS), il che significa che possono essere sfruttate attraverso la rete senza autenticazione e possono portare ad una piena compromissione del sistema. 12 dei difetti influenzano il client Java, nel senso che possono potenzialmente essere sfruttati dal Web attraverso il browser plug-in Java. 

Uno di loro colpisce anche le implementazioni di Java server e gli altri due influenzano quelle client e server di Java Secure Socket Extension (JSSE). Per affrontare queste vulnerabilità Oracle ha rilasciato Java 8 update 45 (Java 8u45), Java 7u79, Java 6u95 e Java 5u85. Gli aggiornamenti per Java 6 e 5 sono disponibili solo per i clienti con contratti di supporto Java a lungo termine. Java 7 ha raggiunto la fine della vita degli update pubblici e le patch di sicurezza in futuro per questa versione saranno disponibili solo per i clienti con contratti di supporto speciali. 

Agli utenti che hanno abilitato gli aggiornamenti automatici in Java 7 è stato chiesto a gennaio di eseguire l'aggiornamento a Java 8. Gli aggiornamenti critici di sicurezza vengono rilasciati da Oracle trimestralmente nei mesi di gennaio, aprile, luglio e ottobre. Si noti che gli aggiornamenti sono cumulativi per la maggior parte dei prodotti Oracle. Di conseguenza, l'applicazione del più recente agggiornamento porta i clienti alla più recente release di sicurezza, con la chiusura di tutte le vulnerabilità di sicurezza precedentemente affrontate per questi prodotti. 

Il Critical Patch Update di aprile 2015 fornisce correzioni per vulnerabilità di sicurezza in una vasta gamma di famiglie di prodotti tra cui: Oracle Database, Oracle Fusion Middleware, Oracle Hyperion, Oracle Enterprise Manager, Oracle E-Business Suite, Oracle Supply Chain Suite, Oracle PeopleSoft Enterprise, Oracle JDEdwards EnterpriseOne, Oracle Siebel CRM, Oracle Applications Industria, Oracle Java SE, Oracle Sun Systems Products Suite, Oracle MySQL, e strumenti di supporto Oracle. Di queste nuove correzioni, 4 sono per il database Oracle. 

Diciassette delle vulnerabilità corrette in questo Critical Patch Updateri guardano Oracle Fusion Middleware. Dodici di queste vulnerabilità Fusion Middleware sono sfruttabili da remoto senza autenticazione, e hanno riportato il più alto punteggio CVSS 10.  Questo alto punteggio riguarda la vulnerabilità CVE-2015- 0235. Questo Critical Patch Update fornisce anche 26 nuove correzioni per Oracle MySQL. 4 delle vulnerabilità MySQL sono sfruttabili da remoto senza autenticazione e il punteggio CVSS delle vulnerabilità per MySQL è massimo pari a 10.


Nessun commento:

Posta un commento