WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Oracle phát hành bản cập nhật Quý III 2018 vá hơn 300 lỗ hổng
Oracle vừa phát hành bản cập nhật quan trọng hằng quý trong tháng 10/2018, vá hơn 300 lỗ hổng khác nhau, rất nhiều trong số đó có thể bị khai thác từ xa mà không cần xác thực.
Ngoài ra, bản cập nhật cũng bao gồm một số lượng lớn các bản vá an ninh cho các sản phẩm phần mềm của Oracle, cho phép các khách hàng có hợp đồng hỗ trợ hợp lệ của hãng nhanh chóng cập nhật hệ thống của mình.
Lỗ hổng CVE-2018-2913, được đánh giá là nghiêm trọng nhất – 10 điểm, ảnh hưởng đến thành phần Trình quản lý giám sát của Oracle GoldenGate, cho phép kẻ tấn công chưa được xác thực khai thác lỗ hổng từ xa qua kết nối TCP.
Lỗ hổng được đánh giá có mức rủi ro cao là bởi vì tuy nó chỉ ảnh hưởng đến gói tích hợp và sao chép dữ liệu Oracle GoldenGate thời gian thực, nhưng các sản phẩm phần mềm bổ sung được cài đặt trong thiết bị có lỗ hổng lại rất dễ bị tấn công.
"Do lỗ hổng đã bị khai thác thành công trên thực tế, Oracle đặc biệt khuyến cáo khách hàng áp dụng các bản vá lỗi quan trọng càng sớm càng tốt", theo khuyến cáo của Oracle. "Cho đến khi bạn áp dụng các bản vá quan trọng, nguy cơ tấn công thành công chỉ có thể được giảm thiểu bằng cách chặn các giao thức mạng theo yêu cầu của một cuộc tấn công".
Bản cập nhật tháng 10 của Oracle cũng xử lý các lỗ hổng an ninh tồn tại trong 101 sản phẩm phần mềm, từ các sản phẩm phổ biến như nền tảng Java, hệ điều hành Solaris, Máy chủ MySQL và VM VirtualBox đến các phần mềm ít người dùng hơn như Oracle Banking Platform, Oracle API Gateway và Oracle WebCenter Portal…
Oracle cho hay: "Hãng vẫn tiếp tục nhận được báo cáo về các trường hợp khai thác lnhững ỗ hổng mà Oracle đã phát hành bản vá. Trong một số trường hợp, kẻ tấn công đã khai thác thành công bởi khách hàng mục tiêu không áp dụng các bản vá lỗi Oracle sẵn có".
“Do vậy, Oracle khuyến cáo khách hàng còn đang sử dụng các phiên bản được hỗ trợ cần ngay lập tức áp dụng các bản vá lỗi quan trọng”.
Ngoài ra, bản cập nhật cũng bao gồm một số lượng lớn các bản vá an ninh cho các sản phẩm phần mềm của Oracle, cho phép các khách hàng có hợp đồng hỗ trợ hợp lệ của hãng nhanh chóng cập nhật hệ thống của mình.
Lỗ hổng CVE-2018-2913, được đánh giá là nghiêm trọng nhất – 10 điểm, ảnh hưởng đến thành phần Trình quản lý giám sát của Oracle GoldenGate, cho phép kẻ tấn công chưa được xác thực khai thác lỗ hổng từ xa qua kết nối TCP.
Lỗ hổng được đánh giá có mức rủi ro cao là bởi vì tuy nó chỉ ảnh hưởng đến gói tích hợp và sao chép dữ liệu Oracle GoldenGate thời gian thực, nhưng các sản phẩm phần mềm bổ sung được cài đặt trong thiết bị có lỗ hổng lại rất dễ bị tấn công.
"Do lỗ hổng đã bị khai thác thành công trên thực tế, Oracle đặc biệt khuyến cáo khách hàng áp dụng các bản vá lỗi quan trọng càng sớm càng tốt", theo khuyến cáo của Oracle. "Cho đến khi bạn áp dụng các bản vá quan trọng, nguy cơ tấn công thành công chỉ có thể được giảm thiểu bằng cách chặn các giao thức mạng theo yêu cầu của một cuộc tấn công".
Bản cập nhật tháng 10 của Oracle cũng xử lý các lỗ hổng an ninh tồn tại trong 101 sản phẩm phần mềm, từ các sản phẩm phổ biến như nền tảng Java, hệ điều hành Solaris, Máy chủ MySQL và VM VirtualBox đến các phần mềm ít người dùng hơn như Oracle Banking Platform, Oracle API Gateway và Oracle WebCenter Portal…
Oracle cho hay: "Hãng vẫn tiếp tục nhận được báo cáo về các trường hợp khai thác lnhững ỗ hổng mà Oracle đã phát hành bản vá. Trong một số trường hợp, kẻ tấn công đã khai thác thành công bởi khách hàng mục tiêu không áp dụng các bản vá lỗi Oracle sẵn có".
“Do vậy, Oracle khuyến cáo khách hàng còn đang sử dụng các phiên bản được hỗ trợ cần ngay lập tức áp dụng các bản vá lỗi quan trọng”.
Nguồn: Softpedia