WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Oracle vá 33 lỗ hổng nghiêm trọng trong bản cập nhật tháng 1/2019
Oracle vừa phát hành bộ bản vá an ninh đầu tiên cho năm 2019, cung cấp tổng cộng 284 bản sửa lỗi an ninh mới cho các sản phẩm của hãng.
33 trong số các bản vá xử lý nhiều lỗ hổng nghiêm trọng, với điểm CVSS trên 9 điểm. 189/284 lỗi có thể bị khai thác từ xa mà không cần xác thực. Các bản cập nhật xử lý nhiều lỗ hổng trong các sản phẩm bị ảnh hưởng, Oracle tiết lộ.
Bản cập nhật quan trọng (CPU) mới được phát hành xử lý nhiều lỗ hổng trong các sản phẩm như Database Server, Communications Application (các ứng dụng liên lạc), E-Business Suite, Financial Services Application (các ứng dụng dịch vụ tài chính), Fusion Middleware, Java SE, MySQL, PeopleSoft Products, Retail Application (các ứng dụng bán lẻ) và Sun Systems Products Suite.
Fusion Middleware là sản phẩm bị ảnh hưởng nhiều nhất, với tổng số 62 bản sửa lỗi được phát hành, xử lý 57 lỗ hổng có thể bị khai thác từ xa. Communications Applications đứng thứ hai, với 33 bản sửa lỗi, trong đó 29 lỗi có thể khai thác từ xa.
MySQL và Virtualization nhận được 30 bản cập nhật mới, trong đó gồm một số lỗi có thể bị khai thác từ xa mà không cần xác thực (lần lượt là 3 và 4). Tất cả 16 bản vá cho E-Business Suite xử lý các lỗi có thể bị khai thác từ xa.
PeopleSoft Products (20 lỗ hổng - 15 trong số đó có thể bị khai thác từ xa), Retail Applications (16 lỗ hổng - 15 có thể bị khai thác từ xa), Enterprise Manager Products Suite (11 lỗ hổng - 9 có thể bị khai thác từ xa), Sun Systems Products Suite (11 lỗ hổng – 5 có thể bị khai thác từ xa) và các Ứng dụng dịch vụ tài chính (9 - tất cả có thể bị khai thác từ xa) cũng bị ảnh hưởng.
Tất cả 5 lỗ hổng mà Oracle đã xử lý trong Java SE trong tháng này có thể bị khai thác từ xa mà không cần xác thực. Tuy nhiên, rủi ro liên quan đến các lỗ hổng này thấp hơn nếu người dùng không có đặc quyền quản trị trên hệ thống.
4 lỗ hổng ảnh hưởng đến thao tác triển khai trên các máy khách chạy các ứng dụng Java Web Start trong sandbox hoặc các applet Java trong sandbox tải và chạy mã không tin cậy và chỉ dựa vào hộp cát Java để bảo đảm an ninh, Oracle tiết lộ.
Trong tháng này, Oracle cũng đã xử lý các lỗ hổng trong các Ứng dụng Ăn uống (6 lỗ hổng - 3 có thể bị khai thác từ xa), các ứng dụng Khoa học Sức khỏe (6 - 2), Bộ sản phẩm Chuỗi cung ứng (5 - 4), Ứng dụng Bảo hiểm (5 - 3), Ứng dụng Bệnh viện (5 - không bị khai thác từ xa), Bộ xây dựng và kỹ thuật (4 - 4), Máy chủ cơ sở dữ liệu (3 - 0), JD Edwards (2 - 2), Ứng dụng tiện ích (2 - 2), Siebel CRM (1 - 1), Công cụ hỗ trợ (1 - 1) và Hyperion (1 - 0).
Oracle khuyên bạn nên áp dụng các bản sửa lỗi Critical Patch Update mới được phát hành càng sớm càng tốt, để tránh các tình huống mà các lỗ hổng đã được xử lý trở thành mục tiêu trong các cuộc tấn công độc hại. Sự chậm trễ trong việc vá lỗi có thể dẫn đến tình huống hacker chiếm quyền điều khiển hệ thống.
Bản cập nhật quan trọng (CPU) mới được phát hành xử lý nhiều lỗ hổng trong các sản phẩm như Database Server, Communications Application (các ứng dụng liên lạc), E-Business Suite, Financial Services Application (các ứng dụng dịch vụ tài chính), Fusion Middleware, Java SE, MySQL, PeopleSoft Products, Retail Application (các ứng dụng bán lẻ) và Sun Systems Products Suite.
Fusion Middleware là sản phẩm bị ảnh hưởng nhiều nhất, với tổng số 62 bản sửa lỗi được phát hành, xử lý 57 lỗ hổng có thể bị khai thác từ xa. Communications Applications đứng thứ hai, với 33 bản sửa lỗi, trong đó 29 lỗi có thể khai thác từ xa.
MySQL và Virtualization nhận được 30 bản cập nhật mới, trong đó gồm một số lỗi có thể bị khai thác từ xa mà không cần xác thực (lần lượt là 3 và 4). Tất cả 16 bản vá cho E-Business Suite xử lý các lỗi có thể bị khai thác từ xa.
PeopleSoft Products (20 lỗ hổng - 15 trong số đó có thể bị khai thác từ xa), Retail Applications (16 lỗ hổng - 15 có thể bị khai thác từ xa), Enterprise Manager Products Suite (11 lỗ hổng - 9 có thể bị khai thác từ xa), Sun Systems Products Suite (11 lỗ hổng – 5 có thể bị khai thác từ xa) và các Ứng dụng dịch vụ tài chính (9 - tất cả có thể bị khai thác từ xa) cũng bị ảnh hưởng.
Tất cả 5 lỗ hổng mà Oracle đã xử lý trong Java SE trong tháng này có thể bị khai thác từ xa mà không cần xác thực. Tuy nhiên, rủi ro liên quan đến các lỗ hổng này thấp hơn nếu người dùng không có đặc quyền quản trị trên hệ thống.
4 lỗ hổng ảnh hưởng đến thao tác triển khai trên các máy khách chạy các ứng dụng Java Web Start trong sandbox hoặc các applet Java trong sandbox tải và chạy mã không tin cậy và chỉ dựa vào hộp cát Java để bảo đảm an ninh, Oracle tiết lộ.
Trong tháng này, Oracle cũng đã xử lý các lỗ hổng trong các Ứng dụng Ăn uống (6 lỗ hổng - 3 có thể bị khai thác từ xa), các ứng dụng Khoa học Sức khỏe (6 - 2), Bộ sản phẩm Chuỗi cung ứng (5 - 4), Ứng dụng Bảo hiểm (5 - 3), Ứng dụng Bệnh viện (5 - không bị khai thác từ xa), Bộ xây dựng và kỹ thuật (4 - 4), Máy chủ cơ sở dữ liệu (3 - 0), JD Edwards (2 - 2), Ứng dụng tiện ích (2 - 2), Siebel CRM (1 - 1), Công cụ hỗ trợ (1 - 1) và Hyperion (1 - 0).
Oracle khuyên bạn nên áp dụng các bản sửa lỗi Critical Patch Update mới được phát hành càng sớm càng tốt, để tránh các tình huống mà các lỗ hổng đã được xử lý trở thành mục tiêu trong các cuộc tấn công độc hại. Sự chậm trễ trong việc vá lỗi có thể dẫn đến tình huống hacker chiếm quyền điều khiển hệ thống.
Nguồn: Security Week