WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Bản cập nhật quan trọng của Oracle trong tháng 10/2016 vá 253 lỗ hổng
Trong tuần này, Oracle vừa phát hành bản cập nhật quan trọng (CPU) cho tháng 10/2016, cung cấp tổng cộng 253 bản vá an ninh cho nhiều dòng sản phẩm khác nhau. Trong đó, gần một nửa số lỗ hổng có thể bị khai thác từ xa mà không cần xác thực.
Các sản phẩm của Oracle nhận nhiều bản vá nhất bao gồm các ứng dụng thương mại của Oracle (36 bản vá lỗi), MySQL (31), Fusion Middleware (29), các ứng ụng dịch vụ tài chính (24), và E-Business Suite (21). Cơ sở dữ liệu Oracle, Java SE, PeopleSoft và các ứng dụng bán lẻ cũng nhận được các bản vá lỗi.
Với 253 bản vá lỗi, CPU tháng 10/2016 là bản cập nhật lớn thứ hai trong năm nay, sau CPU tháng 7 với kỷ lục 276 bản vá lỗi. Trong tháng này, Oracle giải quyết nhiều lỗ hổng nghiêm trọng trong sản phẩm của mình (hơn chục lỗ hổng có điểm CVSS trên 9), trong đó có một lỗ hổng trong dịch vụ HTTP của Oracle E-Business Suite.
Oracle E-Business Suite là phần mềm quan trọng bị ảnh hưởng nghiêm trọng nhất, với 11/ 21 lỗ hổng được đánh giá ở mức nghiêm trọng cao. Ngoài ra, 14/21 lỗ hổng có thể bị khai thác từ xa mà không cần xác thực. Điều này có nghĩa là hacker có thể khai thác lỗ hổng qua mạng mà không cần thông tin người dùng. Điểm số CVSS cao nhất trong số 21 lỗ hổng này là 8.2.
Theo công ty ERPScan, quan trọng nhất là các lỗ hổng này ảnh hưởng đến thành phần máy chủ web của Oracle EBS. Lỗi này, có thể khai thác từ xa, cho phép tin tặc không xác thực có quyền truy cập mạng thông qua HTTP từ đó tấn công Oracle HTTP Server. Hành động này có thể dẫn đến từ chối dịch vụ và truy cập dữ liệu không được phép đọc. Công ty này cũng cho biết có khoảng 15.000 máy chủ HTTP Oracle nối mạng Internet.
Phần mềm quan trọng khác đã nhận được bản sửa lỗi trong CPU tháng 10 bao gồm Oracle PeopleSoft (11 bản sửa lỗi), D Edwards Security (2 bản sửa lỗi) và Siebel CRM An (3 bản sửa lỗi). Điểm CVSS cao nhất là 8.2.
Những vấn đề quan trọng nhất được giải quyết trong tháng này bao gồm 4 lỗi có điểm CVSS 9.8: CVE-2015-3253 - ảnh hưởng thành phần Big Data Discovery của Fusion Middleware; CVE-2016-3551 - ảnh hưởng thành phần dịch vụ Web của Fusion Middleware; CVE-2016-5535 - ảnh hưởng thành phần WebLogic Server của Orcle Fusion Middleware; CVE-2015-3253 - ảnh hưởng thành phần Commerce Platform của Oracle Commerce; và một lỗi có điểm CVSS 9.6 - CVE-2016-5582, ảnh hưởng đến Java SE, thành phần nhúng Java SE của Java SE.
Các sản phẩm của Oracle nhận nhiều bản vá nhất bao gồm các ứng dụng thương mại của Oracle (36 bản vá lỗi), MySQL (31), Fusion Middleware (29), các ứng ụng dịch vụ tài chính (24), và E-Business Suite (21). Cơ sở dữ liệu Oracle, Java SE, PeopleSoft và các ứng dụng bán lẻ cũng nhận được các bản vá lỗi.
Với 253 bản vá lỗi, CPU tháng 10/2016 là bản cập nhật lớn thứ hai trong năm nay, sau CPU tháng 7 với kỷ lục 276 bản vá lỗi. Trong tháng này, Oracle giải quyết nhiều lỗ hổng nghiêm trọng trong sản phẩm của mình (hơn chục lỗ hổng có điểm CVSS trên 9), trong đó có một lỗ hổng trong dịch vụ HTTP của Oracle E-Business Suite.
Oracle E-Business Suite là phần mềm quan trọng bị ảnh hưởng nghiêm trọng nhất, với 11/ 21 lỗ hổng được đánh giá ở mức nghiêm trọng cao. Ngoài ra, 14/21 lỗ hổng có thể bị khai thác từ xa mà không cần xác thực. Điều này có nghĩa là hacker có thể khai thác lỗ hổng qua mạng mà không cần thông tin người dùng. Điểm số CVSS cao nhất trong số 21 lỗ hổng này là 8.2.
Theo công ty ERPScan, quan trọng nhất là các lỗ hổng này ảnh hưởng đến thành phần máy chủ web của Oracle EBS. Lỗi này, có thể khai thác từ xa, cho phép tin tặc không xác thực có quyền truy cập mạng thông qua HTTP từ đó tấn công Oracle HTTP Server. Hành động này có thể dẫn đến từ chối dịch vụ và truy cập dữ liệu không được phép đọc. Công ty này cũng cho biết có khoảng 15.000 máy chủ HTTP Oracle nối mạng Internet.
Phần mềm quan trọng khác đã nhận được bản sửa lỗi trong CPU tháng 10 bao gồm Oracle PeopleSoft (11 bản sửa lỗi), D Edwards Security (2 bản sửa lỗi) và Siebel CRM An (3 bản sửa lỗi). Điểm CVSS cao nhất là 8.2.
Những vấn đề quan trọng nhất được giải quyết trong tháng này bao gồm 4 lỗi có điểm CVSS 9.8: CVE-2015-3253 - ảnh hưởng thành phần Big Data Discovery của Fusion Middleware; CVE-2016-3551 - ảnh hưởng thành phần dịch vụ Web của Fusion Middleware; CVE-2016-5535 - ảnh hưởng thành phần WebLogic Server của Orcle Fusion Middleware; CVE-2015-3253 - ảnh hưởng thành phần Commerce Platform của Oracle Commerce; và một lỗi có điểm CVSS 9.6 - CVE-2016-5582, ảnh hưởng đến Java SE, thành phần nhúng Java SE của Java SE.
Nguồn: Security Week
Chỉnh sửa lần cuối bởi người điều hành: