Bản vá lỗi của Oracle trong tháng 7 lập kỉ lục

InternetPosted on

Bản vá lỗi của Oracle trong tháng 7 xử lí 334 lỗ hổng bảo mật trong phần lớn các sản phẩm kinh doanh của doanh nghiệp này.

securitydaily Bản vá lỗi của Oracle trong tháng 7 lập kỉ lục

Bản vá lỗi quan trọng của Oracle (Critical Patch Update/CPU) trong tháng 7 đã được phát hành nhằm giải quyết 334 lỗ hổng bảo mật. Trong số đó, 61 lỗ hổng được đánh giá là quan trọng, với đánh giá CVSS từ 9 đến 10. Oracle thông báo trong tài liệu tư vấn rằng công ty này đã để ý thấy một số lỗi bảo mật xuất hiện, vì vậy cập nhật bản vá lỗi này là việc quan trọng các quản trị viên cần làm.

Bản vá lỗi của Oracle lần này đánh dấu mức sửa lỗi CPU cao nhất mọi thời đại, vượt qua kỷ lục trước đó là 308 lỗi vào tháng 7 năm 2017. Tuy nhiên số lượng lỗi nhiều không phải điều lạ vì trước đó vào tháng 4, Oracle đã sửa 251 lỗ hổng; và trước đó, vào tháng 1 là 233 lỗ hổng.

Chi tiết bản vá

Các ứng dụng kinh doanh của Oracle bị ảnh hưởng nặng nề. Hầu hết bản vá CPU đều sửa lỗi các sản phẩm: nền tảng hoạch định nguồn lực doanh nghiệp PeopleSoft, E-Business Suite, cơ sở dữ liệu MySQL, Siebel CRM, middleware Fusion, JD Edwards v,v. Các hệ thống này chứa các thông tin nhạy cảm nhất của nhiều công ty, bao gồm cả thông tin tài chính, dữ liệu nhân sự, thông tin dọc cụ thể như điểm của sinh viên, các khoản vay hoặc thông tin chăm sóc sức khỏe PHI, cộng với dữ liệu hoạt động chiến lược về quy trình kinh doanh và sở hữu trí tuệ.

Bản vá lỗi Java cũng được phát hành – nhưng chỉ có 8 bản, giảm 75% so với số bản của CPU tháng 7 năm ngoái.

Lỗi các ứng dụng dịch vụ tài chính xuất hiện nhiều trong bản vá lỗi của Oracle lần này(56), tiếp theo là Fusion Middleware (44), và sau đó các ứng dụng bán lẻ và cơ sở dữ liệu MySQL (31). Theo một phân tích hôm nay từ ERPScan, khoảng 65% các lỗ hổng có thể bị khai thác từ xa mà không cần nhập thông tin. Về mặt dịch vụ tài chính, 21 trong số 56 lỗi có thể cho phép tin tặc truy cập vào hệ thống từ xa, không cần phải nhập thông tin người dùng; trong Fusion, 38 trong số 44 lỗi sẽ cho phép điều này.

Các lỗi nổi bật

Một trong những lỗi nghiêm trọng nhất là lỗi trong Fusion cho phép người dùng truy cập từ xa và sửa đổi dữ liệu thông qua một lỗ hổng trong Oracle Business Process Management Suite Process Analysis