WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Oracle vá gần 300 lỗ hổng trong MySQL, Database, Fusion và các phần mềm khác
Oracle vừa phát hành bản cập nhật an ninh hàng quý, vá tổng cộng 296 lỗ hổng trên các dòng phần mềm doanh nghiệp của mình.
Bản cập nhật tháng 4 năm 2019 bao gồm các bản sửa lỗi cho Database, Fusion Middleware, MySQL…
Đối với Java SE, tổng cộng có năm lỗ hổng được xử lý, mỗi lỗ hổng có thể khai thác từ xa để thực thi mã độc mà không cần tương tác của người dùng. Mặc dù Oracle không cụ thể mỗi lỗ hổng cho phép điều gì xảy ra, nhưng điểm CVSS tối đa là 9.0, là điểm dành riêng cho việc thực thi mã từ xa mà không cần bất kỳ tương tác của người dùng.
Đối với Fusion Middleware, bao gồm WebLogic, bản cập nhật giải quyết 53 lỗ hổng an ninh, 42 trong số đó có thể bị kẻ tấn công nhắm mục tiêu từ xa mà không yêu cầu bất kỳ thông tin đăng nhập của người dùng.
Database Server nhận được các bản sửa lỗi cho sáu lỗ hổng, một lỗi có thể khai thác từ xa và một lỗi khác dành riêng cho phần mềm máy khách (vì vậy quản trị viên máy chủ sẽ chỉ cần cài đặt năm bản vá).
Với dòng Communications Applications của Oracle, bản cập nhật đưa ra bản vá cho 26 lỗi – trong đó 19 lỗi có thể khai thác từ xa. E-Business Suite nhận được bản sửa lỗi cho 35 lỗ hổng, trong đó 33 lỗi có thể khai thác từ xa.
MySQL cũng là một mục tiêu phổ biến, với 44 lỗ hổng được xử lý. Tuy nhiên, chỉ ba trong số các lỗi này có thể khai thác từ xa mà không cần xác thực và điểm CVSS tối đa là 6,5.
Các ứng dụng PeopleSoft cũng nhận được bản vá cho 13 lỗi, 8 trong số đó có thể bị khai thác từ xa mà không cần xác thực. Solaris được ban hành bản vá cho ba lỗ hổng, hai trong số đó có thể được nhắm mục tiêu từ xa.
Bản cập nhật tháng 4 năm 2019 bao gồm các bản sửa lỗi cho Database, Fusion Middleware, MySQL…
Đối với Java SE, tổng cộng có năm lỗ hổng được xử lý, mỗi lỗ hổng có thể khai thác từ xa để thực thi mã độc mà không cần tương tác của người dùng. Mặc dù Oracle không cụ thể mỗi lỗ hổng cho phép điều gì xảy ra, nhưng điểm CVSS tối đa là 9.0, là điểm dành riêng cho việc thực thi mã từ xa mà không cần bất kỳ tương tác của người dùng.
Đối với Fusion Middleware, bao gồm WebLogic, bản cập nhật giải quyết 53 lỗ hổng an ninh, 42 trong số đó có thể bị kẻ tấn công nhắm mục tiêu từ xa mà không yêu cầu bất kỳ thông tin đăng nhập của người dùng.
Database Server nhận được các bản sửa lỗi cho sáu lỗ hổng, một lỗi có thể khai thác từ xa và một lỗi khác dành riêng cho phần mềm máy khách (vì vậy quản trị viên máy chủ sẽ chỉ cần cài đặt năm bản vá).
Với dòng Communications Applications của Oracle, bản cập nhật đưa ra bản vá cho 26 lỗi – trong đó 19 lỗi có thể khai thác từ xa. E-Business Suite nhận được bản sửa lỗi cho 35 lỗ hổng, trong đó 33 lỗi có thể khai thác từ xa.
MySQL cũng là một mục tiêu phổ biến, với 44 lỗ hổng được xử lý. Tuy nhiên, chỉ ba trong số các lỗi này có thể khai thác từ xa mà không cần xác thực và điểm CVSS tối đa là 6,5.
Các ứng dụng PeopleSoft cũng nhận được bản vá cho 13 lỗi, 8 trong số đó có thể bị khai thác từ xa mà không cần xác thực. Solaris được ban hành bản vá cho ba lỗ hổng, hai trong số đó có thể được nhắm mục tiêu từ xa.
Theo The Register