WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Oracle phát hành bản cập nhật lớn chưa từng có, vá 276 lỗ hổng an ninh
Oracle vừa phát hành bản cập nhật quý cho hơn 80 sản phẩm phần mềm của hãng, vá tổng cộng 276 lỗ hổng.
Đây là bản cập nhật bản vá nghiêm trọng lớn nhất của Oracle tính cho đến nay. Theo Qualys, số lượng trung bình lỗ hổng được Oracle vá trong các bản cập nhật được phát hành năm ngoái là 161. Không những thế, trong số 276 lỗ hổng an ninh được vá, 159 lỗi có thể bị khai thác từ xa mà không cần xác thực.
Top các bản vá cần ưu tiên cập nhật trong danh sách là các bản vá dành cho Java, xử lý tổng cộng 13 lỗ hổng mới. Lý do là vì Java đang được sử dụng trong rất nhiều ứng dụng và được cài đặt trên một số lượng lớn các hệ thống.
"Khách hàng thực sự cần phải áp dụng các bản vá lỗi cho Java CPU càng sớm càng tốt", John Matthew Holt thuộc hãng Waratek cho biết. Trong số các bản vá lỗi cần được quan tâm hàng đầu, các bản vá cho máy ảo Java cho máy tính để bàn và máy chủ cũng có điểm CVSS cao, Holt nhận định.
Máy chủ cơ sở dữ liệu Oracle nhận được bản vá cho 9 lỗ hổng, 1 trong số đó được đánh giá ở mức nghiêm trọng với điểm CVSS là 9/10. Trong khi đó, cơ sở dữ liệu Oracle MySQL nhận được bản vá cho 22 lỗi mới, 4 trong số đó ở mức độ nghiêm trọng cao.
Cơ sở dữ liệu tuy không kết nối với Internet, nhưng lại chứa các dữ liệu quan trọng nhất của một doanh nghiệp. Do vậy, các bản sửa lỗi cần được ưu tiên cập nhật.
Theo Qualys, các doanh nghiệp cần chú ý đến tài sản của mình có thể bị tấn công trực tiếp từ Internet. Đó là các trang web và các máy chủ ứng dụng như Oracle HTTP Server, WebLogic Server và GlassFish Server, đều nằm trong bộ phần mềm Fusion Middleware của Oracle.
Các sản phẩm và thành phần Fusion Middleware nhận được bản vá cho tổng cộng 35 lỗi, 5/35 được đánh giá ở mức nghiêm trọng với điểm CVSS là 9,8.
Bộ sản phẩm hệ thống Oracle Sun cũng nhận được 34 bản vá, bao gồm các bản vá cho hệ điều hành Solaris và chuyển mạch mạng, có thể là mục tiêu của những kẻ tấn công từ xa.
Dựa trên chiều dọc của ngành công nghiệp, các doanh nghiệp cũng nên xem xét các bản vá lỗi cho các sản phẩm công nghiệp đặc thù như Oracle Supply Chain, Oracle Communications, Oracle Banking Platform (ngân hàng), Oracle Financial Services Applications (tài chính), Health Sciences (y tế), Oracle Insurance Applications (bảo hiểm), Oracle Utilities Applications và các sản phẩm Oracle cho ngành bán lẻ.
Các lỗ hổng đã được nhận định và vá trong các thành phần ứng dụng như Integration Bus, Order Broker, Service Backbone, và Inventory management.
Oracle khuyến cáo người dùng không được chậm trễ trong việc cài đặt các bản vá lỗi, đồng thời cảnh báo tin tặc không ngừng tìm cách khai thác những lỗ hổng đã có bản vá. Đã có những trường hợp, tin tặc khai thác thành công nhờ việc khách hàng không áp dụng các bản vá hiện có, hãng cho biết.
Đây là bản cập nhật bản vá nghiêm trọng lớn nhất của Oracle tính cho đến nay. Theo Qualys, số lượng trung bình lỗ hổng được Oracle vá trong các bản cập nhật được phát hành năm ngoái là 161. Không những thế, trong số 276 lỗ hổng an ninh được vá, 159 lỗi có thể bị khai thác từ xa mà không cần xác thực.
Top các bản vá cần ưu tiên cập nhật trong danh sách là các bản vá dành cho Java, xử lý tổng cộng 13 lỗ hổng mới. Lý do là vì Java đang được sử dụng trong rất nhiều ứng dụng và được cài đặt trên một số lượng lớn các hệ thống.
"Khách hàng thực sự cần phải áp dụng các bản vá lỗi cho Java CPU càng sớm càng tốt", John Matthew Holt thuộc hãng Waratek cho biết. Trong số các bản vá lỗi cần được quan tâm hàng đầu, các bản vá cho máy ảo Java cho máy tính để bàn và máy chủ cũng có điểm CVSS cao, Holt nhận định.
Máy chủ cơ sở dữ liệu Oracle nhận được bản vá cho 9 lỗ hổng, 1 trong số đó được đánh giá ở mức nghiêm trọng với điểm CVSS là 9/10. Trong khi đó, cơ sở dữ liệu Oracle MySQL nhận được bản vá cho 22 lỗi mới, 4 trong số đó ở mức độ nghiêm trọng cao.
Cơ sở dữ liệu tuy không kết nối với Internet, nhưng lại chứa các dữ liệu quan trọng nhất của một doanh nghiệp. Do vậy, các bản sửa lỗi cần được ưu tiên cập nhật.
Theo Qualys, các doanh nghiệp cần chú ý đến tài sản của mình có thể bị tấn công trực tiếp từ Internet. Đó là các trang web và các máy chủ ứng dụng như Oracle HTTP Server, WebLogic Server và GlassFish Server, đều nằm trong bộ phần mềm Fusion Middleware của Oracle.
Các sản phẩm và thành phần Fusion Middleware nhận được bản vá cho tổng cộng 35 lỗi, 5/35 được đánh giá ở mức nghiêm trọng với điểm CVSS là 9,8.
Bộ sản phẩm hệ thống Oracle Sun cũng nhận được 34 bản vá, bao gồm các bản vá cho hệ điều hành Solaris và chuyển mạch mạng, có thể là mục tiêu của những kẻ tấn công từ xa.
Dựa trên chiều dọc của ngành công nghiệp, các doanh nghiệp cũng nên xem xét các bản vá lỗi cho các sản phẩm công nghiệp đặc thù như Oracle Supply Chain, Oracle Communications, Oracle Banking Platform (ngân hàng), Oracle Financial Services Applications (tài chính), Health Sciences (y tế), Oracle Insurance Applications (bảo hiểm), Oracle Utilities Applications và các sản phẩm Oracle cho ngành bán lẻ.
Các lỗ hổng đã được nhận định và vá trong các thành phần ứng dụng như Integration Bus, Order Broker, Service Backbone, và Inventory management.
Oracle khuyến cáo người dùng không được chậm trễ trong việc cài đặt các bản vá lỗi, đồng thời cảnh báo tin tặc không ngừng tìm cách khai thác những lỗ hổng đã có bản vá. Đã có những trường hợp, tin tặc khai thác thành công nhờ việc khách hàng không áp dụng các bản vá hiện có, hãng cho biết.
Nguồn: Computer World
Chỉnh sửa lần cuối bởi người điều hành: