Oracle heeft een groot aantal beveiligingsupdates gelanceerd voor een groot gedeelte van hun portfolio. In totaal gaat het om 334 beveiligingsproblemen die worden opgelost door deze updates.
In totaal kunnen 93 producten van het bedrijf worden bijgewerkt met de patches. Zo kan de Database Server worden bijgewerkt, waarmee 12 beveiligingsproblemen worden aangepakt. Drie van deze problemen waren op afstand te misbruiken door een lek in Apache Tomcat, een probleem in het Core RDMBS-product en een zwak punt in de database gateway.
Daarnaast zijn er in de communicatieapps van Oracle een aantal ernstige beveiligingsproblemen gevonden. Hiervan zijn 23 van de 25 CVE-listed bugs op afstand te misbruiken. Hierbij hebben kwaadwillenden geen enkele vorm van authenticatie nodig.
Het Solaris-besturingsysteem heeft 10 patches gekregen, waarvan 2 problemen ook op afstand te misbruiken waren. Vooral CVE-2019-9636 lijkt een bijzonder problematische bug te zijn. Deze bevindt zich in de Sun ZFS Storage Appliance Kit.
Macro Ivaldi, security-adviseur bij Mediaservice.net, heeft een bug in het Solaris besturingssysteem ontdekt met de naar CVE-2020-2696 en wordt aangemerkt als een privilegefout in het Solaris 10 Common Desktop Environment. Ivaldi beschrijft de fout als “cute straight-out-of-the-manual memory corruption”, en doet de suggestie dat er naar alle waarschijnlijkheid er een aantal soortgelijke bugs bestaan.
“Tijdens mijn audit zijn veel andere potentieel exploiteerbare bugs opgedoken in dtsession en in de Common Desktop Environment in het algemeen,” geeft de security-adviseur aan. “Daarom moet je, ongeacht de patches die door de leveranciers worden uitgebracht, echt overwegen om de setuid bit van alle CDE-binaire bestanden te verwijderen.”