Aprile sta per finire e, puntuale come ogni mese, Oracle ha rilasciato il pacchetto correttivo per le proprie soluzioni. L’ultimo aggiornamento include 136 patch per la sicurezza di diversi prodotti, tra cui Oracle Database Server, Berkeley Db, E-Business Suite, Fusion Middleware, il portafoglio Oracle Sun, Java e Mysql. La principale novità di questo mese è il passaggio alla classificazione di alcune vulnerabilità secondo il nuovo Common Vulnerability Scoring Standard 3.0 (Cvss), che rappresenta un’evoluzione della versione 2.0 caratterizzata da definizioni più accurate e da descrizioni migliori dell’impatto delle falle sui prodotti. L’ultimo bulletin di Oracle, pubblicato il 19 aprile e disponibile a questo indirizzo, include sia la classificazione 2.0 sia quella più recente.
Da maggio, invece, il vendor ha fatto sapere che utilizzerà solo la versione aggiornata. La scelta di Oracle di presentare i dati avvalendosi di entrambe le classificazioni può generare qualche confusione, in quanto i parametri dei Cvss cambiano notevolmente. Per esempio, secondo i criteri 2.0 le vulnerabilità con un punteggio di dieci su dieci sono cinque, mentre con la scala 3.0 il totale si azzera completamente.
Questo non vuol dire che i bug non siano effettivamente seri: anzi, la maggior parte consente anche l’exploit da remoto. Infatti, secondo il Cvss 3.0 le vulnerabilità definite come “critiche” sono 17, contro le nove del rating 2.0. In modo analogo, quelle elencate con un livello di rischio “alto” sono 25 e 12.
I componenti delle soluzioni Oracle coinvolte nell’aggiornamento e che presentano falle catalogabili come “critiche” (punteggio da 9.0 a 10) sono 17: Java Vm in Database Server; Glassfish Server, Opensso, Traffic Director, Webcenter Sites, Weblogic Server, iPlanet Web Proxy Server e iPlanet Web Server di Fusion Middleware; Field Service di E-Business Suite; Flexcube Direct Banking di Financial Services Software; Java Se, Java Se Embedded, Jrockit di Java Platform Standard Edition; Solaris del portafoglio Sun Systems e Mysql Server di Mysql.