DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Bản vá an ninh tháng 10 của Oracle sửa chữa 419 lỗ hổng an ninh
Trong tuần này, Oracle vừa phát hành bản cập nhật quan trọng (CPU) cho tháng 10/2021, cung cấp tổng cộng 419 bản vá an ninh cho nhiều dòng sản phẩm khác nhau. Trong đó, có rất nhiều lỗ hổng cho phép khai thác từ xa hệ thống bị ảnh hưởng mà không cần xác thực.
Trong tổng số 419 lỗ hổng, có đến 36 lỗi mức độ rất nghiêm trọng có điểm số CVSS là 10, 60 lỗ hổng có điểm CVSS giữa 8 và 9.
Sản phẩm tồn tại nhiều lỗ hổng nhất trong bản vá lần này là Oracle Communications, với tổng cộng 71 lỗi. Trong đó, 56 lỗi có thể bị khai thác từ xa mà không cần xác thực.
Có 10 lỗi trong tổng số 66 lỗ hổng an ninh trong MySQL có thể bị khai thác từ xa không yêu cầu xác thực.
Financial Services Applications nhận được 44 bản vá an ninh, với 26 lỗ hổng có thể bị kẻ tấn công khai thác từ xa và không cần xác thực. Fusion Middleware cũng nhận được 38 bản vá an ninh.
Các sản phẩm khác của Oracle cũng tồn tại rất nhiều lỗ hổng như Retail Applications (26 lỗ hổng, Communications Applications (19 lỗ hổng), E-Business Suite (18 lỗ hổng), PeopleSoft (17 lỗ hổng), Insurance Applications (16 lỗ hổng), Java SE (15 lỗ hổng), Construction và Engineering (12 lỗ hổng), và JD Edwards (11 lỗ hổng).
Oracle cũng phát hành bản vá an ninh cho Commerce, Database Server, Essbase, Enterprise Manager, GoldenGate, Graph Server and Client, Health Sciences Applications, Hospitality Applications, Hyperion, REST Data Services, Secure Backup, Siebel CRM, Supply Chain, Systems, Utilities Applications, và Virtualization.
Công ty đã thông báo rằng, mặc dù không có bản vá mới nào được phát hành cho Global Lifecycle Management, NoSQL, Spatial Studio và SQL Developer, nhưng các bản cập nhật sẽ được tung ra để giải quyết các lỗ hổng của bên thứ ba.
Oracle kêu gọi người dùng và quản trị viên cập nhật các bản vá mới phát hành kịp thời, đồng thời cảnh báo rằng những kẻ tấn công liên tục nhắm mục tiêu vào các lỗ hổng đã biết trong các sản phẩm của hãng.
Orcale cho biết: “Từng có trường hợp hacker khai thác thành công các lỗ hổng vì khách hàng không cập nhật các bản vá lỗi đã được Oracle phát hành. Do đó, Oracle thực sự khuyến cáo khách hàng nên sử dụng các phiên bản phần mềm được hỗ trợ và áp dụng các bản vá an ninh Critical Patch Update ngay lập tức”.
Trong tổng số 419 lỗ hổng, có đến 36 lỗi mức độ rất nghiêm trọng có điểm số CVSS là 10, 60 lỗ hổng có điểm CVSS giữa 8 và 9.
Sản phẩm tồn tại nhiều lỗ hổng nhất trong bản vá lần này là Oracle Communications, với tổng cộng 71 lỗi. Trong đó, 56 lỗi có thể bị khai thác từ xa mà không cần xác thực.
Có 10 lỗi trong tổng số 66 lỗ hổng an ninh trong MySQL có thể bị khai thác từ xa không yêu cầu xác thực.
Financial Services Applications nhận được 44 bản vá an ninh, với 26 lỗ hổng có thể bị kẻ tấn công khai thác từ xa và không cần xác thực. Fusion Middleware cũng nhận được 38 bản vá an ninh.
Các sản phẩm khác của Oracle cũng tồn tại rất nhiều lỗ hổng như Retail Applications (26 lỗ hổng, Communications Applications (19 lỗ hổng), E-Business Suite (18 lỗ hổng), PeopleSoft (17 lỗ hổng), Insurance Applications (16 lỗ hổng), Java SE (15 lỗ hổng), Construction và Engineering (12 lỗ hổng), và JD Edwards (11 lỗ hổng).
Oracle cũng phát hành bản vá an ninh cho Commerce, Database Server, Essbase, Enterprise Manager, GoldenGate, Graph Server and Client, Health Sciences Applications, Hospitality Applications, Hyperion, REST Data Services, Secure Backup, Siebel CRM, Supply Chain, Systems, Utilities Applications, và Virtualization.
Công ty đã thông báo rằng, mặc dù không có bản vá mới nào được phát hành cho Global Lifecycle Management, NoSQL, Spatial Studio và SQL Developer, nhưng các bản cập nhật sẽ được tung ra để giải quyết các lỗ hổng của bên thứ ba.
Oracle kêu gọi người dùng và quản trị viên cập nhật các bản vá mới phát hành kịp thời, đồng thời cảnh báo rằng những kẻ tấn công liên tục nhắm mục tiêu vào các lỗ hổng đã biết trong các sản phẩm của hãng.
Orcale cho biết: “Từng có trường hợp hacker khai thác thành công các lỗ hổng vì khách hàng không cập nhật các bản vá lỗi đã được Oracle phát hành. Do đó, Oracle thực sự khuyến cáo khách hàng nên sử dụng các phiên bản phần mềm được hỗ trợ và áp dụng các bản vá an ninh Critical Patch Update ngay lập tức”.
Theo: securityweek
Chỉnh sửa lần cuối bởi người điều hành: