WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Oracle phát hành 520 bản vá mới
Oracle vừa phát hành 520 bản vá nằm trong Bản cập nhật bản vá quan trọng (CPU) vào tháng 4/2022, bao gồm gần 300 lỗ hổng bảo mật có thể bị khai thác từ xa mà không cần xác thực.
Khoảng 75 lỗi được xếp ở “mức độ nghiêm trọng”, trong đó có ba lỗ hổng có điểm CVSS là 10. Hơn 40 lỗ hổng còn lại có điểm CVSS từ 8 đến 9.
Một số bản vá lỗi mà Oracle đưa vào CPU của tháng này giải quyết CVE-2022-22965 - còn được gọi là Spring4Shell và SpringShell - một lỗi thực thi mã từ xa (RCE) quan trọng trong Spring Framework. Một trong những bản vá này cũng giải quyết CVE-2022-22963, một lỗ hổng RCE quan trọng trong Chức năng Spring Cloud Function.
Oracle Communications đã nhận được số lượng bản vá lỗi lớn nhất trong CPU hàng quý này, là 149. Trong số các lỗi đã được giải quyết, 98 lỗi có thể được khai thác từ xa mà không cần xác thực, Oracle lưu ý trong lời khuyên của mình.
Phần lớn các bản vá lỗi còn lại đã được phát hành cho Fusion Middleware (54 bản sửa lỗi - 41 bản vá lỗi có thể khai thác từ xa, không cần xác thực), MySQL (43 - 11), Ứng dụng dịch vụ tài chính (41 - 19), Ứng dụng truyền thông (39 - 22), Bán lẻ Ứng dụng (30 - 15), Hệ thống (20 - 14) và Nền tảng Blockchain (15 - 14).
Các ứng dụng Oracle khác đã nhận được các bản vá trong tuần này bao gồm PeopleSoft, Hyperion, Supply Chain, Enterprise Manager, HealthCare Applications, JD Edwards, Java SE, Commerce, Insurance Applications, Virtualization, Hospitality Applications, Database Server, GoldenGate và các ứng dụng khác.
Đối với nhiều ứng dụng trong số này, cũng như đối với một số phần mềm không nhận được các bản sửa lỗi bảo mật, Oracle đã thông báo đưa các bản vá lỗi của bên thứ ba vào CPU vào tháng 4 năm 2022.
Oracle thông báo: Đối với hầu hết các sản phẩm, các bản vá bảo mật mới được công bố cũng giải quyết các lỗ hổng bảo mật bổ sung và trong một số trường hợp, các CVE không thể khai thác cũng đã được giải quyết.
Gã khổng lồ công nghệ lưu ý rằng họ liên tục nhận được các báo cáo về các cuộc tấn công nhắm vào các lỗ hổng đã được giải quyết trong các sản phẩm của mình và đặc biệt khuyên khách hàng nên sử dụng các phiên bản được hỗ trợ tích cực của sản phẩm và sử dụng CPU kịp thời.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) hôm thứ Ba đã khuyến khích người dùng và quản trị viên xem xét CPU tháng 4 năm 2022 của Oracle và áp dụng các bản vá có sẵn càng sớm càng tốt. Oracle dự kiến phát hành CPU tiếp theo vào ngày 19 tháng 7 năm 2022.
Khoảng 75 lỗi được xếp ở “mức độ nghiêm trọng”, trong đó có ba lỗ hổng có điểm CVSS là 10. Hơn 40 lỗ hổng còn lại có điểm CVSS từ 8 đến 9.
Một số bản vá lỗi mà Oracle đưa vào CPU của tháng này giải quyết CVE-2022-22965 - còn được gọi là Spring4Shell và SpringShell - một lỗi thực thi mã từ xa (RCE) quan trọng trong Spring Framework. Một trong những bản vá này cũng giải quyết CVE-2022-22963, một lỗ hổng RCE quan trọng trong Chức năng Spring Cloud Function.
Oracle Communications đã nhận được số lượng bản vá lỗi lớn nhất trong CPU hàng quý này, là 149. Trong số các lỗi đã được giải quyết, 98 lỗi có thể được khai thác từ xa mà không cần xác thực, Oracle lưu ý trong lời khuyên của mình.
Phần lớn các bản vá lỗi còn lại đã được phát hành cho Fusion Middleware (54 bản sửa lỗi - 41 bản vá lỗi có thể khai thác từ xa, không cần xác thực), MySQL (43 - 11), Ứng dụng dịch vụ tài chính (41 - 19), Ứng dụng truyền thông (39 - 22), Bán lẻ Ứng dụng (30 - 15), Hệ thống (20 - 14) và Nền tảng Blockchain (15 - 14).
Các ứng dụng Oracle khác đã nhận được các bản vá trong tuần này bao gồm PeopleSoft, Hyperion, Supply Chain, Enterprise Manager, HealthCare Applications, JD Edwards, Java SE, Commerce, Insurance Applications, Virtualization, Hospitality Applications, Database Server, GoldenGate và các ứng dụng khác.
Đối với nhiều ứng dụng trong số này, cũng như đối với một số phần mềm không nhận được các bản sửa lỗi bảo mật, Oracle đã thông báo đưa các bản vá lỗi của bên thứ ba vào CPU vào tháng 4 năm 2022.
Oracle thông báo: Đối với hầu hết các sản phẩm, các bản vá bảo mật mới được công bố cũng giải quyết các lỗ hổng bảo mật bổ sung và trong một số trường hợp, các CVE không thể khai thác cũng đã được giải quyết.
Gã khổng lồ công nghệ lưu ý rằng họ liên tục nhận được các báo cáo về các cuộc tấn công nhắm vào các lỗ hổng đã được giải quyết trong các sản phẩm của mình và đặc biệt khuyên khách hàng nên sử dụng các phiên bản được hỗ trợ tích cực của sản phẩm và sử dụng CPU kịp thời.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) hôm thứ Ba đã khuyến khích người dùng và quản trị viên xem xét CPU tháng 4 năm 2022 của Oracle và áp dụng các bản vá có sẵn càng sớm càng tốt. Oracle dự kiến phát hành CPU tiếp theo vào ngày 19 tháng 7 năm 2022.
Theo: Security Week
Chỉnh sửa lần cuối bởi người điều hành: