Oracle tung bản vá kỷ lục cập nhật cho 308 lỗ hổng

WhiteHat News #ID:2018

WhiteHat Support
20/03/2017
129
443 bài viết
Oracle tung bản vá kỷ lục cập nhật cho 308 lỗ hổng
Oracle, gã khổng lồ trong ngành phần mềm doanh nghiệp, vừa công bố bản cập nhật định kỳ vào tháng 7/2017 cho 308 lỗ hổng. Đây được xem là lần cập nhật lớn nhất trong một quý của hãng này.
oracle-logo.png

Bản cập nhật định kỳ lần này xử lý lỗ hổng của 22 sản phẩm khác nhau của Oracle, bao gồm phần mềm máy chủ cơ sở dữ liệu Oracle, Oracle Enterprise Manager, Oracle Fusion Middleware, Oracle Hyperion, Oracle E-Business Suite, các ứng dụng Oracle dành cho truyền thông, bán lẻ và khách sạn, Oracle Primavera, các sản phẩm Oracle Sun, Oracle Java SE và Oracle MySQL.

Trong tổng số 308 lỗ hổng được cập nhật bản vá, 27 lỗi được đánh giá là nghiêm trọng có nguy cơ khai thác cao trên 9 điểm theo đánh giá CVSS (duy nhất một lỗi được xếp 10 điểm). Hơn một nửa số lỗ hổng có thể bị khai thác từ xa mà không cần chứng thực.

Sau đây là các phần mềm có nhiều cập nhật bản vá nhất và số lỗ hổng khai thác từ xa không cần xác thực tương ứng:
STTPhần mềmSố bản vá lỗiSố lỗ hổng khai thác từ xa không cần xác thực
1Các ứng dụng khách sạn Oracle 4811
2Oracle Fusion Middleware 4431 (bao gồm lỗi CVE-2017-10137 có điểm CVSS là 10)
3Oracle Java SE3228
4Oracle PeopleSoft3020
5Oracle MySQL309
6Oracle E-Business Suite2219
7Các ứng dụng dịch vụ tài chính 204
ERPScan, một công ty chuyên về an ninh của các phần mềm SAP và Oracle, cho biết số lượng kỷ lục 30 lỗ hổng trong các sản phẩm PeopleSoft rất đáng lo ngại, đặc biệt trong đó 20 lỗi có thể được khai thác qua mạng mà không cần thông tin xác thực của người dùng.

Phần mềm này có hơn 6000 khách hàng doanh nghiệp và 20 triệu người dùng cuối trên toàn thế giới, trong đó có hơn 800 trường đại học. Hơn 1000 hệ thống PeopleSoft trên Internet đang đặt các tổ chức trên trước nguy cơ bị tấn công. Theo kết quả khảo sát mới nhất từ trang Crowd Research Partners, 89% số người tham gia cho rằng số vụ tấn công mạng trên phần mềm ERP sẽ tăng đáng kể trong tương lai gần. “Các cuộc tấn công vào SAP có thể gây thiệt hại lên đến 50 triệu USD và điều tương tự có thể xảy ra với PeopleSoft”, chuyên gia của ERPScan cho biết thêm.

82 lỗ hổng trong đợt cập nhật bản vá này ảnh hưởng đến một loạt các ứng dụng kinh doanh quan trọng của Oracle, như Oracle PeopleSoft, E-Business Suite, Siebel CRM, các dịch vụ tài chính Oracle và Oracle Primavera Products Suite. Khoảng 53% các lỗi này có thể được khai thác từ xa mà không cần chứng thực.

Onapsis, công ty đã phát hiện ra lỗ hổng trong E-Business Suite cho biết một trong những lỗ hổng nghiêm trọng nhất của E-Business Suite (CVE-2017-10244) liên quan đến việc lộ thông tin có thể cho phép hacker "lấy được dữ liệu kinh doanh nhạy cảm mà không yêu cầu tài khoản người dùng hợp lệ trong hệ thống". Lỗ hổng này ảnh hưởng đến tất cả các phiên bản Oracle E-Business Suite được hỗ trợ: 12.1.3, 12.2.3, 12.2.4, 12.2.5 và 12.2.6.

Theo công ty trên, lỗ hổng này đặc biệt nghiêm trọng vì hacker chỉ cần một trình duyệt web và truy cập mạng vào hệ thống EBS để thực hiện tấn công. Bất kỳ tài liệu quan trọng nào được lưu trữ trong hệ thống như hóa đơn, đơn đặt hàng, thông tin nhân sự và tài liệu thiết kế đều có thể bị khai thác. Ngay cả các hệ thống được cấu hình tính năng DMZ cũng không đảm bảo rằng sẽ được an toàn.

Ngoài ra còn có nhiều loại lỗ hổng khác trong Oracle E-Business Suite như lỗi path traversal CVE-2017-10192, nhóm lỗi cho phép path traversal CVE-2017-10184 và CVE-2017-10186, hai lỗ hổng khai thác tấn công từ chối dịch vụ CVE-2017-10108 và CVE-2017-10109, lỗ hổng Multiple Cross Site Scripting CVE-2017-10180, hai lỗ hổng XSS CVE-2017-10185 và CVE-2017-10191 và một lỗ hổng lộ thông tin CVE-2017-10245.

Người dùng phải nhanh chóng cập nhật Oracle E-Business Suite bản mới nhất để nhận được bản vá tất cả các lỗ hổng.

Các lỗ hổng quan trọng nhất được xử lý trong đợt cập nhật bản vá này ảnh hưởng đến phần mềm máy chủ Oracle WebLogic là một phần Oracle Fusion Middleware (CVE-2017-10137 - điểm CVSS là 10), OJVM của phần mềm máy chủ cơ sở dữ liệu Oracle (CVE-2017-10202 - điểm CVSS là 9,9) , Oracle Communications BRM của Ứng dụng truyền thông Oracle (CVE-2015-3253 - điểm CVSS là 9,8), MICROS PC Workstation 2015 của Ứng dụng khách sạn Oracle (CVE-2017-5689 - điểm CVSS là 9,8) và MySQL Enterprise Monitor của Oracle MySQL (CVE-2016-4436 - điểm CVSS là 9.8).

Theo Securityweek
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: NgMSon
Bên trên