WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Oracle phát hành 397 bản vá cho hàng loạt lỗ hổng nghiêm trọng, đa số có thể bị khai thác từ xa không cần xác thực
Oracle vừa phát hành gói bản vá an ninh tháng 4, bao gồm tổng cộng 397 bản vá cho hàng loạt lỗ hổng nghiêm trọng tồn tại trên 24 sản phẩm của hãng. Trong đó, 264 lỗ hổng có thể bị khai thác từ xa mà không cần xác thực.
60 trên tổng số lỗ hổng được vá được đánh giá ở mức nghiêm trọng, trong đó 55 lỗi có điểm CVSS 9.8, 90 lỗi từ 8.0 trở lên.
Trong các sản phẩm của Oracle được vá tháng này, E-Business Suite nhận được số lượng bản vá an ninh lớn nhất cho 74 lỗ hổng với 70 lỗ hổng có thể bị khai thác từ xa bởi những kẻ tấn công không xác thực. Mặc dù không được đánh giá nghiêm trọng, hầu hết lỗ hổng tồn tại nguy cơ cao (62 lỗi có điểm CVSS từ 8.1 trở lên).
Oracle cũng xử lý 51 lỗ hổng trong Bộ sản phẩm phần mềm lớp giữa Fusion Middleware, có thể bị lợi dụng bởi những kẻ tấn công từ xa không được xác thực. 12/51 lỗ hổng được đánh giá ở mức nghiêm trọng (điểm CVSS 9.8).
Nhiều sản phẩm khác của Oracle bị ảnh hưởng nặng nề bao gồm MySQL (45 bản vá, trong đó 9 bản vá cho các lỗ hổng có thể khai thác từ xa mà không cần xác thực), các Ứng dụng Truyền thông (39 bản vá, trong đó 35 lỗi có thể khai thác từ xa), các Ứng dụng Dịch vụ Tài chính (35 bản vá, trong đó 16 lỗi có thể khai thác từ xa) và các Ứng dụng bán lẻ (27 bản vá với 17 lỗi có thể bị khai thác từ xa).
Ngoài ra, hãng cũng phát hành bản vá cho các lỗ hổng tồn tại trong Công nghệ ảo hóa Virtualization (19 bản vá - 1 lỗi có thể khai thác từ xa mà không cần xác thực), Knowledge (16– 15), Java SE (15 - tất cả đều có thể khai thác từ xa), PeopleSoft (14– 10), Construction & Engineering (12– 9), System (9 – 2), Database Server (8 – 2) và Enterprise Manager (7 – 5).
Ít bị ảnh hưởng hơn là các sản phẩm GraalVM (5 bản vá - 2 lỗ hổng có thể khai thác từ xa mà không cần xác thực), Supply Chain (4 – 3), JD Edwards (4 – 2), Hyperion (3 - không có lỗi có thể bị khai thác từ xa), các Ứng dụng Khoa học sức khỏe (2 – 2), Công cụ hỗ trợ (2 – 2), các Ứng dụng tiện ích (2 – 2), Sao lưu an toàn (1– 1) và Ứng dụng thực phẩm và đồ uống, Global Lifecycle Management và Siebel CRM (mỗi sản phẩm nhận 1 bản vá, đều không phải là lỗi có thể bị khai thác từ xa).
Để tránh bị ảnh hưởng, khách hàng Oracle cần áp dụng các bản vá an ninh mới được phát hành càng sớm càng tốt.
60 trên tổng số lỗ hổng được vá được đánh giá ở mức nghiêm trọng, trong đó 55 lỗi có điểm CVSS 9.8, 90 lỗi từ 8.0 trở lên.
Oracle cũng xử lý 51 lỗ hổng trong Bộ sản phẩm phần mềm lớp giữa Fusion Middleware, có thể bị lợi dụng bởi những kẻ tấn công từ xa không được xác thực. 12/51 lỗ hổng được đánh giá ở mức nghiêm trọng (điểm CVSS 9.8).
Nhiều sản phẩm khác của Oracle bị ảnh hưởng nặng nề bao gồm MySQL (45 bản vá, trong đó 9 bản vá cho các lỗ hổng có thể khai thác từ xa mà không cần xác thực), các Ứng dụng Truyền thông (39 bản vá, trong đó 35 lỗi có thể khai thác từ xa), các Ứng dụng Dịch vụ Tài chính (35 bản vá, trong đó 16 lỗi có thể khai thác từ xa) và các Ứng dụng bán lẻ (27 bản vá với 17 lỗi có thể bị khai thác từ xa).
Ngoài ra, hãng cũng phát hành bản vá cho các lỗ hổng tồn tại trong Công nghệ ảo hóa Virtualization (19 bản vá - 1 lỗi có thể khai thác từ xa mà không cần xác thực), Knowledge (16– 15), Java SE (15 - tất cả đều có thể khai thác từ xa), PeopleSoft (14– 10), Construction & Engineering (12– 9), System (9 – 2), Database Server (8 – 2) và Enterprise Manager (7 – 5).
Ít bị ảnh hưởng hơn là các sản phẩm GraalVM (5 bản vá - 2 lỗ hổng có thể khai thác từ xa mà không cần xác thực), Supply Chain (4 – 3), JD Edwards (4 – 2), Hyperion (3 - không có lỗi có thể bị khai thác từ xa), các Ứng dụng Khoa học sức khỏe (2 – 2), Công cụ hỗ trợ (2 – 2), các Ứng dụng tiện ích (2 – 2), Sao lưu an toàn (1– 1) và Ứng dụng thực phẩm và đồ uống, Global Lifecycle Management và Siebel CRM (mỗi sản phẩm nhận 1 bản vá, đều không phải là lỗi có thể bị khai thác từ xa).
Để tránh bị ảnh hưởng, khách hàng Oracle cần áp dụng các bản vá an ninh mới được phát hành càng sớm càng tốt.
Nguồn: Security Week