Oracle Critical Patches zijn verzamelingen van beveiligingsoplossingen voor Oracle-producten.
Deze zijn beschikbaar voor klanten met een geldig supportcontract bij Oracle.
De Oracle Critical Patches worden vrijgegeven op de dinsdag die het dichtst bij de 17de kalenderdag van de maanden januari, april, juli en oktober ligt. De volgende vier data zijn:
- 18 januari 2022
- 19 april 2022
- 19 juli 2022
- 18 oktober 2022
Op de donderdag voorafgaand aan de hierboven genoemde data wordt er een pre-release-aankondiging gepubliceerd. Deze kun je vinden op de website van Oracle.
Vanaf dat moment gaat MCX een risico- en impact analyse uitvoeren en wordt er een advies uitgebracht richting de klant. Op de dag dat de patch uitkomt is er meer informatie beschikbaar over de geraakte onderdelen en wordt de situatie nogmaals bekeken.
Als er een kwetsbaarheid of bedreiging wordt gevonden, wordt er eerst geanalyseerd wat de mogelijke impact is op klanten. Om deze analyse te doen maakt MCX gebruik van versie 3 van het Common Vulnerability Scoring System (CVSS) scoring systeem. Dit systeem is gebaseerd op twee principes:
- De mate waarin een bedreiging kan worden uitgebuit;
- De mogelijke impact die de bedreiging kan hebben.
Het eerste principe kijkt voornamelijk naar de wijze waarop toegang tot de service kan worden verkregen die kwetsbaar is. Het tweede principe is gericht op de BIV classificatie (Beschikbaarheid, Integriteit en Vertrouwelijkheid) van de informatie die via de service beschikbaar wordt gesteld. De CVSS score wordt weergegeven op een schaal van 0 tot 10 waarbij een score van 0 betekent dat er geen risico en impact is. Een score van 10 betekent dat er maximale uitbuiting mogelijk is via het netwerk zonder vereiste authenticatie. MCX gebruikt deze indeling naar CVSS-score om de duur te bepalen waarbinnen een workaround of een patch, indien beschikbaar, volledig geïmplementeerd dient te zijn. MCX onderscheidt vier verschillende prioriteiten die zijn weergegeven in onderstaande tabel.
| CVSS score | Prioriteit | Maximale implementatie tijd |
|---|---|---|
| 0.0 | geen | n.v.t |
| 0.1 – 3.9 | laag | 4 weken |
| 4.0 – 6.9 | middel | 2 weken |
| 7.0 – 8.9 | hoog | 1 week |
| 9.0 – 10 | kritiek | 3 dagen |
Bekende kwetsbaarheden worden gepubliceerd in de National Vulnerability Database (NVD) van het National Institute of Standards and Technology (NIST). Per geval wordt in deze database gecontroleerd wat de CVSS- score is van een bedreiging of kwetsbaarheid. Als er geen score beschikbaar is dan voert MCX zelf een berekening uit aan de hand van de CVSS-calculator op https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator. Afhankelijk van de klant specifieke situatie wordt de CVSS-score dan naar boven of beneden bijgesteld.
De opgegeven implementatieduur wordt door MCX gegarandeerd. Daarbij is de aanname dat er geen afhankelijkheden zijn met derde partijen zoals leveranciers of klanten. MCX kan namelijk alleen een patch installeren als deze is vrijgegeven. Als de implementatie duur dreigt uit te lopen dan wordt de klant hiervan op de hoogte gesteld. Alternatieven worden dan besproken om zo toch de binnen de afgegeven termijn de patches of workarounds te kunnen installeren.
Voor de huidige Critical patch zijn dit de bevindingen:
- Oracle 19c bevat een kwetsbaarheid met CVSSv3.1 score 5.4; (MEDIUM)
- Weblogic bevat een kwetsbaarheid met CVSSv3.1 score 9.8 (CRITICAL);
- JDK bevat een kwetsbaarheid met CVSSv3.1 score 6.5; (MEDIUM)
- PeopleSoft (PeopleTools, versions 8.57, 8.58, 8.59 en CS Campus Community, version 9.2) bevat een kwetsbaarheid met CVSSv3.1 score 9.8 (CRITICAL);
Weblogic en PeopleTools zijn kritisch en dit zijn dan ook de producten die minimaal moeten worden gepatched.
MCX raadt altijd aan om de hele software-stack te patchen.