Erste Oracle-CPU des Jahres: Erste Patches für E-Business Suite 12.2.8

Heute ist der erstes Oracle Critical Patch Update (CPU) Das Jahr steht vor großen Herausforderungen für uns und Sie: Die Verbesserung der Sicherheit Ihrer ERP-Anwendungen ist in der heutigen Cyber-Angriffslandschaft ein Muss. Die Onapsis Research Labs haben sich noch stärker auf die Erforschung der Oracle E-Business Suite konzentriert, wo wir in den letzten zwei Jahren 78.9 % aller Schwachstellen gemeldet haben (insgesamt 159 von 229 Schwachstellen wurden ursprünglich von unserem Team gemeldet). Diese erste CPU des Jahres enthält 284 neue Korrekturen von Sicherheitslücken für mehrere Oracle-Produkte, darunter die neue EBS-Version 12.2.8, die im Oktober 2018 eingeführt wurde.

Zu den geschäftskritischen Anwendungen, die von Schwachstellen betroffen sind, die in diesem kritischen Patch-Update behoben wurden, gehören: Oracle-AnwendungsmanagerOracle Content ManagerTechnische Grundlagen von Oracle CRMOracle-Marketing und Oracle Mobile-Außendienst, Unter anderem. 

Die Oracle E-Business Suite ist eines der wichtigsten Enterprise Resource Planning (ERP), die Oracle in seinen Produkten hat. In dieser CPU empfiehlt Oracle dem Kunden, die Sicherheitspatches für Technologie-Stack-Komponenten in der Oracle E-Business Suite anzuwenden, einschließlich Datenbank und Oracle Fusion-Middleware. Insgesamt gibt es 86 Schwachstellen, die diese Plattform betreffen:

  • 3 für Datenbank (Keine dieser Schwachstellen kann ohne Authentifizierung aus der Ferne ausgenutzt werden)
  • 62 für Oracle Fusion Middleware (57 dieser Schwachstellen können ohne Authentifizierung aus der Ferne ausgenutzt werden)
  • 5 für Java (Alle diese Schwachstellen können ohne Authentifizierung aus der Ferne ausgenutzt werden)
  • 16 für Oracle E-Business Suite-Technologie-Stack-Komponenten (9 dieser Schwachstellen können ohne Authentifizierung aus der Ferne ausgenutzt werden)

Wie bereits erwähnt, ist dies die erste CPU nach der Veröffentlichung der E-Business Suite 12.2.8 durch Oracle und es wurden bereits Fehler für diese Version behoben. Dies ist eine gute Erinnerung daran, wie wichtig es ist, Ihre Systeme auf dem neuesten Stand zu halten, auch diejenigen mit neueren Versionen.

Für die Oracle E-Business Suite beträgt der höchste CVSS 9.1 in den Produkten Oracle-Leistungsmanagement (nur Version 12.1.3) und Oracle One-to-One-Fulfillment. Dieser letzte Fehler betrifft die Unterkomponente OCM-Abfrage (einschließlich der letzten Version 12.2.8) und es ist „leicht ausnutzbar” durch einen nicht authentifizierten Angreifer mit Netzwerkzugriff über HTTP auf Oracle One-to-One Fulfillment. Wie Oracle veröffentlichte: „Erfolgreiche Angriffe auf diese Schwachstelle können zu einer unbefugten Erstellung, Löschung oder Änderung des Zugriffs auf kritische Daten oder alle über Oracle One-to-One Fulfillment zugänglichen Daten sowie einen unbefugten Zugriff auf kritische Daten oder einen vollständigen Zugriff auf alle über Oracle One-to-One Fulfillment zugänglichen Daten führen Daten"

Bedenken Sie, dass alle 16 Schwachstellen in dieser CPU, die sich direkt auf die Oracle E-Business Suite auswirken, auch die neue Version 12.2.8 betreffen. Das bedeutet, dass es nicht ausreicht, die neueste Version zur Verfügung zu haben, sondern Sie müssen immer auch die CPU in Ihrem Stack installieren.

In dieser neuen Version 12.2.8, Oracle nicht enthalten neue Kontrollen hinsichtlich der Sicherheit für seine Sichere Konfigurationskonsole. Um das Critical Patch Update für Oracle E-Business Suite zu implementieren, kann der AppDBA das folgende von uns erstellte Dokument verwenden, um die Schritt-für-Schritt-Anleitung zur Implementierung der Patches zu lesen: So implementieren Sie die Oracle-CPU.

Oracle verwendet CVSS Version 3, um die Auswirkungen jeder Schwachstelle zu messen, wobei 10 die kritischste Auswirkung der Schwachstelle darstellt. In dieser CPU beträgt der höchste CVSS 3.0-Basiswert für Schwachstellen in diesem kritischen Patch-Update 9.8 Enterprise Manager-Basisplattform der Oracle Enterprise Manager Products Suite, was bedeutet, dass ein Angreifer die Sicherheitslücke aus der Ferne nutzen kann, um die CIA-Triade vollständig zu kompromittieren: Vertraulichkeit, Integrität und Verfügbarkeit

Michael Miller, Senior Security Architect bei Onapsis, erklärte kürzlich in ein Interview mit dem Oracle Magazine Was wir am Anfang dieses Blogbeitrags erwähnt haben:

„Kein Team, kein Tool, keine Technik oder kein Anbieter wird Sie sichern. Sicherheit entsteht nur dadurch, dass Sie, Ihre Teams und Ihre Mitarbeiter Prozesse befolgen – und häufig Tools verwenden. Was wir hier bei Onapsis tun, ist, über diese Prozesse nachzudenken und zu überlegen, wie wir Menschen dazu bringen können, intelligenter zu arbeiten, einen Mehrwert zu schaffen und Lösungen zu schaffen.“

Im Rahmen unserer Arbeit, Benutzern zu helfen, Wir werden nächsten April auf der Collaborate-Konferenz einen Vortrag halten, mit mehreren Vorträgen über Oracle-Sicherheit, präsentiert von den Onapsis-Experten Cristian Peque und Michael Miller, darunter:

  • Schritte, um mit der Security Configuration Console in der Oracle E-Business Suite sicher zu bleiben
  • Oracle E-Business Suite: Wichtige Audit- und Compliance-Vorteile bei der Ausführung in der Cloud
  • So implementieren Sie Oracle Critical Patch Updates für EBS
  • Hacken und Schützen der Oracle E-Business Suite