طبق گزارش سهماهه شرکت اوراکل ۴۰۲ آسیبپذیری در محصولات این شرکت رفع شدهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت اوراکل در گزارش سهماهه اخیر خود، ۴۰۲ مورد آسیبپذیری را رفع کرده است که بیش از نیمی از آنها بدون نیاز به احراز هویت و از راه دور قابل بهرهبرداری هستند. از این میان دو مورد از آسیبپذیریها بر اساس استاندارد CVSS دارای بالاترین شدت اهمیت بوده و دارای امتیاز ۱۰ از ۱۰هستند.
در بهروزرسانی اکتبر، آسیبپذیریهای ۲۷ محصول اوراکل رفع شده است که تعدادی از این محصولات مهم اوراکل که در معرض بیشترین آسیبپذیریها قرار دارند، در جدول ۱ نمایش داده شده است. توصیه میشود مشتریان محصولات اوراکل با مراجعه به مستندات مربوط به اصلاحیههای موجود اقدام به رفع آسیبپذیری کنند.
شرکت اوراکل بهصورت پیوسته در حال دریافت گزارشهایی مبنی بر تلاش برای بهرهبرداری از این آسیبپذیریها بوده است که بهروزرسانی آنها اخیرا ارائه شد. در برخی موارد، به دلیل عدم اعمال بهروزرسانیها از طرف کاربر، اکسپلوست موفقیتآمیز از این آسیبپذیریها نیز گزارش شده است. بنابراین بهشدت توصیه میشود که مشتریان از نسخه بهروز که پشتیبانی میشوند، استفاده کرده و بهروزرسانیها را هرچه سریعتر اعمال کند.
دو مورد از این آسیبپذیریها که دارای شدت ۱۰ هستند، بسیار خطرناکاند. اولین آسیبپذیری با شناسه CVE-۲۰۲۰-۱۹۵۳ است که بدون نیاز به احراز هویت و تعامل با کاربر میتواند از راه دور بهرهبرداری شود. این آسیبپذیری در المان Self Service Analytics از محصول Oracle Healthcare Foundation قرار دارد و نسخههای ۷.۱.۱، ۷.۲.۱، ۷.۲.۰ و ۷.۳.۰ را تحت تاثیر قرار میدهد.
دومین آسیبپذیری با شناسه CVE-۲۰۲۰-۱۴۸۷۱ در ماژول Pluggable authentication module از محصول Oracle Solaris است. این آسیبپذیری بدون نیاز به احراز هویت و دخالت کاربر میتواند از راه دور اجرا شود و این حمله بر اساس معیارهای استاندار CVSS یک حمله با پیچیدگی کم (low-complexity) محسوب میشود و نسخههای ۱۰ و ۱۱ را تحت تأثیر قرار میدهد.
لازم است توجه شود که ۶۷ مورد از آسیبپذیریهای رفع شده در بهروزرسانی اخیر بر اساس CVSS امتیاز ۹.۸ را دارند.
برای حملاتی که مستلزم مجوز یا دسترسی به پکیج خاصی هستند، شرکت اوراکل توصیه میکند تا مجوزها و دسترسی کاربرانی که نیازی به این مجوزها ندارند، حذف گردد. این عمل به کاهش ریسک ناشی از حملات موفق کمک خواهد کرد. با این حال این دو رویکرد ممکن است در عملکرد برنامه خللی ایجاد کند پس اوراکل این رویکردها را به عنوان راهحل بلندمدت توصیه نمیکند.
توصیه میشود کاربران با توجه به خطرات ناشی از حملات به آسیبپذیریهای رفع شده، هرچه سریعتر اقدام به رفع آسیبپذیری سه ماه اخیر کنند. بهروزرسانیهای سهماهه قبلی در آوریل منجر به رفع ۴۰۵ مورد آسیبپذیری در خط تولید شرکت شده است. چندین آسیبپذیری out-of-band نیز بهروزرسانی شده است؛ برای مثال در ژوئن شرکت اوراکل هشداری مبنی بر آسیبپذیری بحرانی اجرای کد از راه در WebLogic Server اعلام کرد که بهصورت گسترده بهرهبرداری شده است.
دریافت صفحه با کد QR