خبر بد این است که برخی محصولات Oracle و Java آسیبپذیریهای فراوانی داشته اند و خبر خوب اینکه تاکنون هیچکدام از این محصولات مورد حمله واقع نشده اند.
وصله های امنیتی ارائه شده توسط Oracle شامل رفع آسیب پذیری های بسیار جدی است امّا تاکنون در مورد سوء استفاده از این آسیب پذیری ها اطلاعی به دست نیامده است . با این حال ، عاملان مخرب گاهی برای توسعه ی کد های مخرب خود ، از مهندسی معکوس وصله های امنیتی استفاده می کنند تا از این طریق به سازمان هایی که در اعمال این وصله های امنیتی کوتاهی کردند ، حمله کنند .
از میان آسیب پذیری های دیتابیس Oracle ، هفت مورد در سرور پایگاه داده ی Oracle مشاهده شده است. جدی ترین آسیب پذیری در مؤلفه Clusterware سرور پایگاه داده Oracle ، با توجه به رتبه بندی CVSS (Common Vulnerability Scoring System) دارای امتیازی برابر با ۱۰ بود ! که به معنای آسیب پذیری با جدیت بالا می باشد . این امر یعنی اینکه این باگ میتواند از راه دور و بر روی شبکه و بدون نیاز به نام کاربری و رمز عبور مورد سوء استفاده قرار گیرد و سیستم مورد نظر را به طور کامل به خطر بیاندازد . سه آسیب پذیری جدی دیگر، که با همین سیستم امتیاز دهی ، امتیازی برابر با ۹٫۰دارند ، می توانند برنامه ریز پایگاه داده و اجزای ماشین مجازی Java را تحت تأثیر قرار دهند . این آسیب پذیری ها شامل نصب پایگاه داده سمت مشتری ، یعنی جایی که سرور پایگاه داده Oracle نصب نشده است ، نمی شوند.
همچنین Oracle 30 مورد نقص امنیتی را در پایگاه داده MySQL رفع کرده است که دو مورد از این ۳۰ مورد یادشده ، بدون شناسایی و از راه دور قابل سوء استفاده هستند . جدی ترین نقص ، مؤلفه ی MySQL Enterprise Monitor را تحت تأثیر قرار داده است و اگر این مؤلفه با حق دسترسی مدیر و یا سطح دسترسی ریشه اجرا شود ، می تواند منجر به تصاحب کامل سیستم قربانی گردد . Oracle در راهنمای امنیتی خود می گوید: «اگر MySQL Enterprise Monitor بدون حق دسترسی مدیر اجرا شود ، امتیاز CVSS این نقص از ۹٫۰ به ۶٫۵ کاهش می یابد زیرا هکرها تنها کنترل بخشی از سیستم موردنظر را به دست می گیرند .»
هکر ها علاقه ی زیادی برای حمله به Java دارند ، بنابراین برای سازمان های مبتنی بر Java ، CPU از اهمیت بیشتری برخوردار است . آخرین وصله های امنیتی ارائه شده ، ۲۵ نقطه ی آسیب پذیری در Java را برطرف کرده است که ۲۴ مورد از آن ها قابل اجرای از راه دور هستند . هفت آسیب پذیری در Java SE و Embedded Java SE نسخه های ۶ و ۸ حاوی دارای نمره ای برابر با ۱۰ بودند . این نواقص در کتابخانه های مختلف و چندین زیر بخش Java از جمله CORBA، RMI، Serialization و ۲D وجود داشتند . Oracle می گوید که این ها می توانند تنها از طریق اپلیکیشن های Web Start و اپلت های Java مورد سوء استفاده قرار گیرند .
بیست مورد از این آسیب پذیری ها مبتنی بر مرورگر بودند ، که طبق توصیه ی Oracle به کاربران ، می بایست تنها از Plug-in پیش فرض Java استفاده کنند.
همچنین Oracle توصیه می کند که سازمان ها به دلیل وجود تهدید ها در اسرع وقت با مسدود کردن پروتکل های شبکه ای موردنیاز برای حمله ، خطر حملات موفقیت آمیز را کاهش دهند . جدی ترین آسیب پذیری پایگاه داده از پروتکل OracleNET استفاده می کند امّا پذیرش این راهکار در MYSQL که مبتنی بر HTTP است ، منطقی به نظر نمی رسد. اگر برخی دسترسی ها و امتیازات خاص برای برخی پکیج ها لغو گردند، از شدت اهمیت برخی از باگ های کاسته می شود. از آنجا که این راهکار می تواند عملکرد اپلیکیشن ها را از بین ببرد ، Oracle توصیه میکند که این تغییرات اول در سیستمهای غیر تولیدی تست شوند.
Oracle اصلاحات امنیتی را برای محصولاتش به صورت سه ماهه ارائه می دهد . بهروزرسانی ماه جولای شامل رفع آسیب پذیری برای ۱۹۳ مورد بود درحالی که بهروزرسانی ژانویه ۱۶۹ مورد را پوشش میداد. بهروزرسانی آوریل جزئیترین حجم آسیبپذیری در سال ۲۰۱۵ را پوشش میداد که برابر با ۹۸ مورد بود.
بهروزرسانی زمان بندی شده ی بعدی Oracle در ۱۹ ژانویه ۲۰۱۶ ارائه خواهد شد.
