Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Oracle biztonsági frissítések - 2012 október

2012.10.19. 13:45 | buherator | 2 komment

A mostani negyedéves Oracle frissítőcsomag - bár szokásosan szűkszavú - tartalmaz néhány izgalmat: 

Először is, a cég összesen 109 hibát javít különböző Oracle termékekben, ezen kívül pedig 30 Java biztonsági frissítés is érkezett. A cég a továbbiakban a Java biztonsági frissítéseket a rendszeres negyedéves CPU-kkal együtt adja ki, háromról négyre emelve a keretrendszer éves frissítéseinek számát. 

A legtöbb felhasználót érintő Java sérülékenységek egyharmada 10.0-ás CVSS-t kapott, itt tehát a szokásos böngéssz-és-hódolj (elismerem, gagyi fordítás) forgatókönyv játszik, azonnali frissítés javasolt. Ezen kívül a Java 2D csomagja szerver-oldali alkalmazásokat is távoli kódfuttatásnak tehet ki.

Mac felhasználók számára érdekes fejelmény, hogy az Apple az Oracle frissítésének kiadásával párhuzamosan letolt egy saját Update-et is, ami leszedi a Java futtatókörnyezetet, hogy a felhasználókat az Oracle változatának használatára kényszerítse. (Kommentbe írja már meg valaki, hogy az Oracle Java frissíti-e magát Mac-en, köszi!)

Az Oracle RDBMS-el kapcsolatban a legfontosabb javítás a már tárgyalt, jelszavak offline brute-force-olását lehetővé tevő protokoll sérülékenységet szünteti meg. Ehhez hasonlóan 10.0-ás CVSS besorolást kapott a JRockit egyik sérülékenysége, a Solaris TCP/IP stackjében távoli DoS problémákat javítottak, és a MySQL Information Schemáját érintő, autentikáció után komplett kontrollt biztosító (CVSS 9.0) sérülékenysége is határozottan érdekesnek látszik. 

Az Oracle frissítési politikáját ebben a hónapban a Fusion Middleware-rel kapcsolatos 9 hibát bejelentő Travis Emmert részéről éri kritika (korábbi eszmefuttatások például itt és itt olvashatók): a szakértő OWASP Top10-es hibákat talált az Oracle webalkalmazásaiban, és jogosan teszi fel a kérdést, hogy hogyan maradhatnak ilyen pofonegyszerűen feltárható és javítható hibák egy ekkora gyártó termékeiben egyáltalán? Emmert kétségbe vonja, hogy egyáltalán bármilyen biztonsági tesztelési rendszer érvényben lenne az Oracle-nél, miközben a felhasználók jogosan várnák el, hogy ilyen kaliberű (és árú) termékeknél ilyen alapvető problémák már ne forduljanak elő. A szakértő újra felemlegeti, hogy az Oracle a javított hibák jellegéről (CWE azonosító) semmilyen információt nem ad, így nehezen felmérhető, hogy egy adott probléma a gyakorlatban hogyan is érint egy telepítést.

További észrevétel, hogy a frissítési folyamat végtelenül lassú, és hogy a bejelentőknek ugyan köszönetet mond a gyártó, de nem rendeli őket a bejelentett sérülékenységeikhez, így a sebezhetőség-információk kategorizálása problémákba ütközik.

A magam részéről most is a CVSS számításon rugóznék: az ugyanis, hogy a kritikus Java javítások értékelését 10.0-ről - az Impact értékeket Complete-ről Partalra változtatva - 7.5-re  csökkentené a gyártó, ha a böngésző felhasználó korlátozott jogú, szvsz. a probléma bagatelizálása, a tipikus Java kártevőnek ugyanis bőven elég, ha az aktuális felhasználó adataihoz hozzáfér, az adminisztratív jog már csak hab a tortán. 

Címkék: java patch oracle

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

ghost_____ 2012.10.19. 14:05:29

Oracle java 2 nappal korábban frissítette magát mit a apple féle

buherator · http://buhera.blog.hu 2012.10.19. 14:14:30

@ghost_____: Köszi, akkor ennek volt értelme.

Btw. jelszómenedzsment nehezen megy? ;)