WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Oracle phát hành Bản cập nhật quan trọng vá 167 lỗ hổng
Bản cập nhật các bản vá nghiêm trọng do Oracle phát hành tháng 1/2015 vá tổng cộng 167 lỗ hổng trên 48 sản phẩm của hãng.
Theo kế hoạch, các bản vá được phát hành trong ngày 20/1 chủ yếu để vá các lỗ hổng đạt điểm tuyệt đối, theo thang điểm 10 của Hệ thống tính điểm lỗ hổng bảo mật thông thường (CVSS), phiên bản 2.
Chuyên gia an ninh David Litchfield từng thông báo 11 lỗ hổng được vá trong bản cập nhật này cho biết 1 trong số đó được đánh giá ở mức đặc biệt nghiêm trọng.
Litchfield cho hay lỗ hổng này được phát hiện khi chuyên gia này đang kiểm tra hệ thống của một khách hàng. Ban đầu, Litchfield chỉ nghĩ rằng hệ thống đã bị tấn công và bị cài cổng hậu (backdoor).
Tuy nhiên, sau khi nghiên cứu sâu hơn, chuyên gia này cho biết cửa hậu này là từ Oracle, một phần trong bước cài đặt giải pháp eBussiness Suite. Lỗ hổng cho phép người dùng thông thường có được quyền admin, nghĩa là một người có đầy đủ kiến thức có thể dành quyền truy cập vào cơ sở dữ liệu.
Theo tuyên bố Oracle, một trong những sản phẩm bị ảnh hưởng bởi lỗ hổng nghiêm trọng này là nền tảng Java Standard Edition (SE).
Tổng cộng, chương trình được vá 19 lỗ hổng và 14 trong số đó rất quan trọng vì tồn tại nguy cơ khai thác từ xa.
Oracle cho biết những lỗ hổng này cho phép kẻ tấn công tận dụng để khai thác mà không cần cung cấp thông tin đăng nhập và mật khẩu để xác thực.
Các thành phần Java khác cần cập nhật bản vá bao gồm Java SE Embedded và JRockit.
Sản phẩm nhận được nhiều sự quan tâm của Oracle là Oracle Fusion Middleware với 35 bản vá an ninh mới. Hầu hết các lỗ hổng (28/35) có thể bị khai thác từ xa, mà không cần xác thực.
19 thành phần của sản phẩm bị ảnh hưởng bởi lỗ hổng này như Oracle Forms, Oracle HTTP Server, Oracle OpenSSO và Oracle Security Service.
Tiếp theo trong danh sách sản phẩm là Oracle Sun Systems Products Suite với 29 bản vá an ninh cho các thành phần bao gồm Fujitsu M10-1, M10-4S Servers, M9000 Servers, Solaris, Solaris Cluster và SPARC Enterprise M3000.
10 trong 29 lỗ hổng cho phép kẻ tấn công khai thác từ xa mà không cần xác thực. Lỗi nghiêm trọng nhất đạt điểm tuyệt đối 10.
Công ty khuyến cáo người dùng khẩn cấp cập nhật các bản vá để tránh khỏi các nguy cơ của vụ tấn công.
Bản cập nhật các bản vá nghiêm trọng được Oracle phát hành theo quý. Kế hoạch phát hành trong năm nay là vào các ngày 20/1, 14/4, 14/7 và 20/10.
Nguồn: Softpedia
Theo kế hoạch, các bản vá được phát hành trong ngày 20/1 chủ yếu để vá các lỗ hổng đạt điểm tuyệt đối, theo thang điểm 10 của Hệ thống tính điểm lỗ hổng bảo mật thông thường (CVSS), phiên bản 2.
Chuyên gia an ninh David Litchfield từng thông báo 11 lỗ hổng được vá trong bản cập nhật này cho biết 1 trong số đó được đánh giá ở mức đặc biệt nghiêm trọng.
Litchfield cho hay lỗ hổng này được phát hiện khi chuyên gia này đang kiểm tra hệ thống của một khách hàng. Ban đầu, Litchfield chỉ nghĩ rằng hệ thống đã bị tấn công và bị cài cổng hậu (backdoor).
Tuy nhiên, sau khi nghiên cứu sâu hơn, chuyên gia này cho biết cửa hậu này là từ Oracle, một phần trong bước cài đặt giải pháp eBussiness Suite. Lỗ hổng cho phép người dùng thông thường có được quyền admin, nghĩa là một người có đầy đủ kiến thức có thể dành quyền truy cập vào cơ sở dữ liệu.
Theo tuyên bố Oracle, một trong những sản phẩm bị ảnh hưởng bởi lỗ hổng nghiêm trọng này là nền tảng Java Standard Edition (SE).
Tổng cộng, chương trình được vá 19 lỗ hổng và 14 trong số đó rất quan trọng vì tồn tại nguy cơ khai thác từ xa.
Oracle cho biết những lỗ hổng này cho phép kẻ tấn công tận dụng để khai thác mà không cần cung cấp thông tin đăng nhập và mật khẩu để xác thực.
Các thành phần Java khác cần cập nhật bản vá bao gồm Java SE Embedded và JRockit.
Sản phẩm nhận được nhiều sự quan tâm của Oracle là Oracle Fusion Middleware với 35 bản vá an ninh mới. Hầu hết các lỗ hổng (28/35) có thể bị khai thác từ xa, mà không cần xác thực.
19 thành phần của sản phẩm bị ảnh hưởng bởi lỗ hổng này như Oracle Forms, Oracle HTTP Server, Oracle OpenSSO và Oracle Security Service.
Tiếp theo trong danh sách sản phẩm là Oracle Sun Systems Products Suite với 29 bản vá an ninh cho các thành phần bao gồm Fujitsu M10-1, M10-4S Servers, M9000 Servers, Solaris, Solaris Cluster và SPARC Enterprise M3000.
10 trong 29 lỗ hổng cho phép kẻ tấn công khai thác từ xa mà không cần xác thực. Lỗi nghiêm trọng nhất đạt điểm tuyệt đối 10.
Công ty khuyến cáo người dùng khẩn cấp cập nhật các bản vá để tránh khỏi các nguy cơ của vụ tấn công.
Bản cập nhật các bản vá nghiêm trọng được Oracle phát hành theo quý. Kế hoạch phát hành trong năm nay là vào các ngày 20/1, 14/4, 14/7 và 20/10.
Nguồn: Softpedia