[JustisCERT-varsel] [#073-2021] [TLP:CLEAR] Kvartalsvise sikkerhetsoppdateringer fra Oracle - oktober 2021

Oracle publiserte 19. oktober 2021 sine kvartalsvise sikkerhetsoppdateringer [1]. Det er totalt 419 sårbarheter som rettes, mange er kategorisert som kritiske. Høyeste CVSS-score er 10.0 (CVE-2021-35652) for produktet Oracle Essbase. 230 av sårbarhetene kan utnyttes uten autentisering og berører 26 av produktene til Oracle, deriblant (men ikke begrenset til) Oracle Database Server, Oracle REST Data Services, Oracle MySQL, Oracle Fusion Middleware, Oracle Financial Services Applications, Oracle Secure Backup og Oracle Java SE.
 
JustisCERT anbefaler systemeiere å undersøke om de har sårbare Oracle-produkter og sørge for at disse blir oppdatert.

Berørte produkter er:

• Se Oracle sin nettside [2] for en fullstendig liste over berørte produkter

Anbefalinger:

• Patch/oppdater berørte produkter
• Avinstaller programvare som ikke benyttes
• Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
• Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
• Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
• Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
• Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (velg f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
• Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter

 
Kilder:
[1] https://www.oracle.com/security-alerts/
[2] https://www.oracle.com/security-alerts/cpuoct2021.html