WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Oracle phát hành bản cập nhật quan trọng vá 443 lỗ hổng
Tuần này, Oracle đã phát hành Bản cập nhật quan trọng hàng quý bao gồm 443 bản vá lỗ hổng an ninh mới. Hơn một nửa các lỗ hổng được vá có thể bị khai thác từ xa mà không cần xác thực.
Đây là bản cập nhật vá lỗi kỷ lục không chỉ về số lượng bản vá (lần đầu tiên Oracle vá hơn 400 lỗi), mà còn liên quan đến số lượng lỗi nghiêm trọng được xử lý: khoảng 100 bản vá xử lý các lỗ hổng có điểm CVSS trên 9 (khoảng 70 lỗi có điểm CVSS từ 9,8 trở lên).
Trong danh sách các lỗ hổng, nghiêm trọng nhất là hai lỗ hổng có thể khai thác từ xa CVE-2020-14701 và CVE-2020-14606, lần lượt trong các giải pháp SD-WAN Aware và SD-WAN Edge của Oracle. Cả hai cùng có điểm CVSS là 10.
Oracle là nhà cung cấp phần mềm thứ ba tung ra bản vá các lỗ hổng có điểm CVSS cao tối đa trong tuần này. Trước đó, các hãng SAP và Microsoft cũng đã xử lý các lỗi có mức điểm cao như vậy.
Các giải pháp Communications của Oracle nhận được số lượng bản vá lớn nhất, gồm 60 bản vá, trong đó 17 lỗ hổng được đánh giá là nghiêm trọng. Theo thông báo của Oracle, 46 lỗi được vá trong các sản phẩm này có thể bị kẻ tấn công từ xa không cần xác thực khai thác.
Nhiều lỗi được xử lý đã tồn tại trong suốt nhiều năm, trong đó lỗi cũ nhất được xác định vào năm 2016 và 2017 nhưng vẫn chưa được khắc phục mặc dù đây là vấn đề nghiêm trọng.
Trong tháng này, 52 bản vá đã được phát hành để xử lý các lỗ hổng trong phần mềm Fusion Middleware, trong đó 48 lỗ hổng có thể bị khai thác từ xa mà không cần xác thực. Nhiều lỗ hổng trong sản phẩm này đã được báo cáo tới Oracle từ ba năm trước.
Sau đây là danh sách các sản phẩm có từ 20 bản vá trở lên được cập nhật:
Ngoài ra, Oracle cũng khuyến cáo người dùng nên cập nhật bản vá ngay lập tức. Công ty này tiếp tục nhận được báo cáo về các lỗ hổng đã có bản vá nhưng vẫn bị hacker khai thác mạnh mẽ. Một số khách hàng của hãng do không cập nhật bản vá đã bị hacker khai thác thành công.
Trong danh sách các lỗ hổng, nghiêm trọng nhất là hai lỗ hổng có thể khai thác từ xa CVE-2020-14701 và CVE-2020-14606, lần lượt trong các giải pháp SD-WAN Aware và SD-WAN Edge của Oracle. Cả hai cùng có điểm CVSS là 10.
Oracle là nhà cung cấp phần mềm thứ ba tung ra bản vá các lỗ hổng có điểm CVSS cao tối đa trong tuần này. Trước đó, các hãng SAP và Microsoft cũng đã xử lý các lỗi có mức điểm cao như vậy.
Các giải pháp Communications của Oracle nhận được số lượng bản vá lớn nhất, gồm 60 bản vá, trong đó 17 lỗ hổng được đánh giá là nghiêm trọng. Theo thông báo của Oracle, 46 lỗi được vá trong các sản phẩm này có thể bị kẻ tấn công từ xa không cần xác thực khai thác.
Nhiều lỗi được xử lý đã tồn tại trong suốt nhiều năm, trong đó lỗi cũ nhất được xác định vào năm 2016 và 2017 nhưng vẫn chưa được khắc phục mặc dù đây là vấn đề nghiêm trọng.
Trong tháng này, 52 bản vá đã được phát hành để xử lý các lỗ hổng trong phần mềm Fusion Middleware, trong đó 48 lỗ hổng có thể bị khai thác từ xa mà không cần xác thực. Nhiều lỗ hổng trong sản phẩm này đã được báo cáo tới Oracle từ ba năm trước.
Sau đây là danh sách các sản phẩm có từ 20 bản vá trở lên được cập nhật:
- Retail Applications: 47 bản vá, 42 lỗi có thể khai thác từ xa, không cần xác thực
- MySQL: 40 bản vá, 6 lỗ hổng có thể khai thác từ xa
- Financial Services Applications: 38 bản vá, 26 lỗ hổng có thể khai thác từ xa
- E-Business Suite: 30 bản vá, 24 lỗ hổng có thể khai thác từ xa
- Virtualization: 25 bản vá, không tồn tại lỗ hổng có thể khai thác từ xa
- Supply Chain: 22 bản vá, 18 lỗ hổng có thể khai thác từ xa
- Construction and Engineering: 20 bản vá, 15 lỗ hổng có thể khai thác từ xa
- Database Server: 19 bản vá, 1 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- Enterprise Manager: 14 bản vá, 11 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- Java SE: 11 bản vá, 11 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- PeopleSoft: 11 bản vá, 9 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- Systems: 7 bản vá, 1 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- JD Edwards: 6 bản vá, 6 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- Ứng dụng bảo hiểm: 6 bản vá, 4 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- Siebel CRM: 5 bản vá, 5 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- Health Sciences Applications: 4 bản vá, 4 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- Commerce: 4 bản vá, 3 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- GraalVM: 4 bản vá, 3 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- Ứng dụng về Đồ ăn và Thức uống: 4 bản vá, 0 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- GoldenGate: 3 bản vá, 1 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- Berkeley DB: 3 bản vá, 0 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- Hyperion: 3 bản vá, 0 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- Hospitality Applications: 1 bản vá, 1 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- iLearning: 1 bản vá, 1 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- Utilities Applications: 1 bản vá, 1 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- Global Lifecycle Management: 1 bản vá, 0 lỗ hổng có thể khai thác từ xa mà không cần xác thực
- TimesTen In-Memory Database: 1 bản vá, 0 lỗ hổng có thể khai thác từ xa mà không cần xác thực
Ngoài ra, Oracle cũng khuyến cáo người dùng nên cập nhật bản vá ngay lập tức. Công ty này tiếp tục nhận được báo cáo về các lỗ hổng đã có bản vá nhưng vẫn bị hacker khai thác mạnh mẽ. Một số khách hàng của hãng do không cập nhật bản vá đã bị hacker khai thác thành công.
Theo Security week