Tin An Ninh Mạng

Oracle phát hành bản cập nhật quan trọng vá 443 lỗ hổng

Tuần này, Oracle đã phát hành Bản cập nhật quan trọng hàng quý bao gồm 443 bản vá lỗ hổng an ninh mới. Hơn một nửa các lỗ hổng được vá có thể bị khai thác từ xa mà không cần xác thực.

{

}

Oracle-Patch-Update.jpg

Đây là bản cập nhật vá lỗi kỷ lục không chỉ về số lượng bản vá (lần đầu tiên Oracle vá hơn 400 lỗi), mà còn liên quan đến số lượng lỗi nghiêm trọng được xử lý: khoảng 100 bản vá xử lý các lỗ hổng có điểm CVSS trên 9 (khoảng 70 lỗi có điểm CVSS từ 9,8 trở lên).

Trong danh sách các lỗ hổng, nghiêm trọng nhất là hai lỗ hổng có thể khai thác từ xa CVE-2020-14701 và CVE-2020-14606, lần lượt trong các giải pháp SD-WAN Aware và SD-WAN Edge của Oracle. Cả hai cùng có điểm CVSS là 10.

Oracle là nhà cung cấp phần mềm thứ ba tung ra bản vá các lỗ hổng có điểm CVSS cao tối đa trong tuần này. Trước đó, các hãng SAP và Microsoft cũng đã xử lý các lỗi có mức điểm cao như vậy.

Các giải pháp Communications của Oracle nhận được số lượng bản vá lớn nhất, gồm 60 bản vá, trong đó 17 lỗ hổng được đánh giá là nghiêm trọng. Theo thông báo của Oracle, 46 lỗi được vá trong các sản phẩm này có thể bị kẻ tấn công từ xa không cần xác thực khai thác.

Nhiều lỗi được xử lý đã tồn tại trong suốt nhiều năm, trong đó lỗi cũ nhất được xác định vào năm 2016 và 2017 nhưng vẫn chưa được khắc phục mặc dù đây là vấn đề nghiêm trọng.

Trong tháng này, 52 bản vá đã được phát hành để xử lý các lỗ hổng trong phần mềm Fusion Middleware, trong đó 48 lỗ hổng có thể bị khai thác từ xa mà không cần xác thực. Nhiều lỗ hổng trong sản phẩm này đã được báo cáo tới Oracle từ ba năm trước.

Sau đây là danh sách các sản phẩm có từ 20 bản vá trở lên được cập nhật:

  • Retail Applications: 47 bản vá, 42 lỗi có thể khai thác từ xa, không cần xác thực
  • MySQL: 40 bản vá, 6 lỗ hổng có thể khai thác từ xa
  • Financial Services Applications: 38 bản vá, 26 lỗ hổng có thể khai thác từ xa
  • E-Business Suite: 30 bản vá, 24 lỗ hổng có thể khai thác từ xa
  • Virtualization: 25 bản vá, không tồn tại lỗ hổng có thể khai thác từ xa
  • Supply Chain: 22 bản vá, 18 lỗ hổng có thể khai thác từ xa
  • Construction and Engineering: 20 bản vá, 15 lỗ hổng có thể khai thác từ xa

Các ứng dụng nhận được ít hơn 20 vá bao gồm:

  • Database Server: 19 bản vá, 1 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • Enterprise Manager: 14 bản vá, 11 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • Java SE: 11 bản vá, 11 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • PeopleSoft: 11 bản vá, 9 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • Systems: 7 bản vá, 1 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • JD Edwards: 6 bản vá, 6 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • Ứng dụng bảo hiểm: 6 bản vá, 4 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • Siebel CRM: 5 bản vá, 5 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • Health Sciences Applications: 4 bản vá, 4 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • Commerce: 4 bản vá, 3 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • GraalVM: 4 bản vá, 3 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • Ứng dụng về Đồ ăn và Thức uống: 4 bản vá, 0 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • GoldenGate: 3 bản vá, 1 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • Berkeley DB: 3 bản vá, 0 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • Hyperion: 3 bản vá, 0 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • Hospitality Applications: 1 bản vá, 1 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • iLearning: 1 bản vá, 1 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • Utilities Applications: 1 bản vá, 1 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • Global Lifecycle Management: 1 bản vá, 0 lỗ hổng có thể khai thác từ xa mà không cần xác thực
  • TimesTen In-Memory Database: 1 bản vá, 0 lỗ hổng có thể khai thác từ xa mà không cần xác thực

Trong thông báo, Oracle nhấn mạnh nhiều bản vá giải quyết các lỗ hổng phát sinh trong các sản phẩm bị ảnh hưởng, vì vậy tổng số lỗi an ninh được xử lý lớn hơn nhiều so với số lượng bản vá.

Ngoài ra, Oracle cũng khuyến cáo người dùng nên cập nhật bản vá ngay lập tức. Công ty này tiếp tục nhận được báo cáo về các lỗ hổng đã có bản vá nhưng vẫn bị hacker khai thác mạnh mẽ. Một số khách hàng của hãng do không cập nhật bản vá đã bị hacker khai thác thành công.

Theo Security week

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !