WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Oracle phát hành 270 bản vá quan trọng
Oracle vừa phát hành một số lượng lớn các bản vá lỗi an ninh quan trọng cho tháng 1/2017, bao gồm 121 bản cập nhật cho E-Business Suite (EBS).
Bản cập nhật bản vá quan trọng (CPU) cho tháng 1/2017 xử lý tổng cộng 270 lỗ hổng cho các sản phẩm của Oracle.
Theo hãng ERPscan, 97% tương đương 118 lỗ hổng trong EBS bị khai thác từ xa mà không cần bất kỳ xác thực.
“Một cuộc tấn công nhắm mục tiêu vào Oracle EBS cho phép hacker đánh cắp và tác động vào các loại thông tin kinh doanh quan trọng, tùy thuộc vào các module được cài đặt trong tổ chức“, ERPscan cho biết.
Trong số các lỗ hổng được vá trong CPU tháng 1/2017, 16 lỗi được đánh giá ở mức nghiêm trọng với với điểm CVSS v3.0 là 9,0 hoặc cao hơn.
Một lỗ hổng khai thác được từ xa mà không yêu cầu xác thực hoặc tương tác người dùng – CVE-2017-3324 – có điểm CVSS là 10. Lỗi ảnh hưởng đến các phiên bản Primavera P6 Enterprise Project Portfolio Management 8.2, 8.3, 8.4, 15.1, 15.2, 16.1 và 16.2 của Oracle.
Chỉ có 17 bản vá lỗi cho Java
Trong khi đó, ứng dụng Java framework từ lâu bị chỉ trích là không an toàn lại có tương đối ít bản vá.
Java SE, Jave SE nhúng và JRockit được cập nhật 17 bản vá cho những lỗi bị khai thác từ xa mà không cần xác thực.
3 trong 17 lỗi bao gồm CVEs 2017-3289, 2017-3272 và 2017-3241 được đánh giá ở mức nghiêm trọng, với điểm CVSS v3.0 trên 9,0.
Lỗ hổng nghiêm trọng nhất trong Java – CVE-2017-3289 – ảnh hưởng đến các trình biên dịch Hotspot. Oracle cho biết lỗi nằm ở trình triển khai khách hàng Java thường chạy các ứng dụng Java Web Start sandboxed hoặc Java applet đang tải và chạy mã không tin cậy.
Trình triển khai máy chủ Java đang chạy mã tin cậy không bị ảnh hưởng bởi CVE-2017-3289, Oracle cho biết.
Bản cập nhật bản vá quan trọng (CPU) cho tháng 1/2017 xử lý tổng cộng 270 lỗ hổng cho các sản phẩm của Oracle.
Theo hãng ERPscan, 97% tương đương 118 lỗ hổng trong EBS bị khai thác từ xa mà không cần bất kỳ xác thực.
“Một cuộc tấn công nhắm mục tiêu vào Oracle EBS cho phép hacker đánh cắp và tác động vào các loại thông tin kinh doanh quan trọng, tùy thuộc vào các module được cài đặt trong tổ chức“, ERPscan cho biết.
Một lỗ hổng khai thác được từ xa mà không yêu cầu xác thực hoặc tương tác người dùng – CVE-2017-3324 – có điểm CVSS là 10. Lỗi ảnh hưởng đến các phiên bản Primavera P6 Enterprise Project Portfolio Management 8.2, 8.3, 8.4, 15.1, 15.2, 16.1 và 16.2 của Oracle.
Chỉ có 17 bản vá lỗi cho Java
Trong khi đó, ứng dụng Java framework từ lâu bị chỉ trích là không an toàn lại có tương đối ít bản vá.
Java SE, Jave SE nhúng và JRockit được cập nhật 17 bản vá cho những lỗi bị khai thác từ xa mà không cần xác thực.
3 trong 17 lỗi bao gồm CVEs 2017-3289, 2017-3272 và 2017-3241 được đánh giá ở mức nghiêm trọng, với điểm CVSS v3.0 trên 9,0.
Lỗ hổng nghiêm trọng nhất trong Java – CVE-2017-3289 – ảnh hưởng đến các trình biên dịch Hotspot. Oracle cho biết lỗi nằm ở trình triển khai khách hàng Java thường chạy các ứng dụng Java Web Start sandboxed hoặc Java applet đang tải và chạy mã không tin cậy.
Trình triển khai máy chủ Java đang chạy mã tin cậy không bị ảnh hưởng bởi CVE-2017-3289, Oracle cho biết.
Theo: Hacker News
Chỉnh sửa lần cuối bởi người điều hành: