Mới đây, Oracle - hãng phần mềm doanh nghiệp đã công bố bản cập nhật định kỳ vào tháng 7/2017 cho 308 lỗ hổng. Đây được xem là lần cập nhật lớn nhất trong một quý của hãng này.
Bản cập nhật định kỳ lần này xử lý lỗ hổng của 22 sản phẩm khác nhau của Oracle, bao gồm: phần mềm máy chủ cơ sở dữ liệu Oracle, Oracle Enterprise Manager, Oracle Fusion Middleware, Oracle Hyperion, Oracle E-Business Suite, các ứng dụng Oracle dành cho truyền thông, bán lẻ và khách sạn, Oracle Primavera, các sản phẩm Oracle Sun, Oracle Java SE và Oracle MySQL.
Trong tổng số 308 lỗ hổng được cập nhật bản vá, 27 lỗ hổng được đánh giá là nghiêm trọng có nguy cơ khai thác cao trên 9 điểm theo đánh giá CVSS (Common Vulnerability Scoring System) , trong đó có một lỗ hổng được xếp 10 điểm. Hơn một nửa số lỗ hổng có thể bị khai thác từ xa mà không cần chứng thực.
Bảng dưới đây liệt kê 7 phần mềm có nhiều cập nhật bản vá nhất và số lỗ hổng khai thác từ xa không cần xác thực tương ứng:
ERPScan - công ty chuyên về an ninh của các phần mềm SAP và Oracle cho biết, số lượng kỷ lục 30 lỗ hổng trong các sản phẩm PeopleSoft rất đáng lo ngại, đặc biệt trong đó 20 lỗ hổng có thể được khai thác qua mạng mà không cần thông tin xác thực của người dùng.
Phần mềm này có hơn 6.000 khách hàng doanh nghiệp và 20 triệu người dùng cuối trên toàn thế giới, trong đó có hơn 800 trường đại học. Hơn 1.000 hệ thống PeopleSoft trên Internet đang đặt các tổ chức trước nguy cơ bị tấn công.
Có 82 lỗ hổng trong đợt cập nhật bản vá này ảnh hưởng đến một số các ứng dụng kinh doanh quan trọng của Oracle như: Oracle PeopleSoft, E-Business Suite, Siebel CRM, các dịch vụ tài chính Oracle và Oracle Primavera Products Suite. Khoảng 53% các lỗ hổng này có thể được khai thác từ xa mà không cần chứng thực.
Onapsis, công ty đã phát hiện ra lỗ hổng trong E-Business Suite cho biết một trong những lỗ hổng nghiêm trọng nhất của E-Business Suite (CVE-2017-10244) liên quan đến việc lộ thông tin có thể cho phép tin tặc "lấy được dữ liệu kinh doanh nhạy cảm mà không yêu cầu tài khoản người dùng hợp lệ trong hệ thống". Lỗ hổng này ảnh hưởng đến tất cả các phiên bản Oracle E-Business Suite được hỗ trợ: 12.1.3, 12.2.3, 12.2.4, 12.2.5 và 12.2.6.
Theo công ty Onapsis, lỗ hổng này đặc biệt nghiêm trọng vì tin tặc chỉ cần một trình duyệt web và truy cập mạng vào hệ thống EBS để thực hiện tấn công. Bất kỳ tài liệu quan trọng nào được lưu trữ trong hệ thống như: hóa đơn, đơn đặt hàng, thông tin nhân sự và tài liệu thiết kế đều có thể bị khai thác. Ngay cả các hệ thống được cấu hình tính năng DMZ cũng không đảm bảo an toàn.
Ngoài ra còn có nhiều loại lỗ hổng khác trong Oracle E-Business Suite như: lỗ hổng path traversal CVE-2017-10192, nhóm lỗ hổng cho phép path traversal CVE-2017-10184 và CVE-2017-10186, hai lỗ hổng khai thác tấn công từ chối dịch vụ CVE-2017-10108 và CVE-2017-10109, lỗ hổng Multiple Cross Site Scripting CVE-2017-10180, hai lỗ hổng XSS CVE-2017-10185 và CVE-2017-10191 và một lỗ hổng lộ thông tin CVE-2017-10245.
Các lỗ hổng quan trọng nhất được xử lý trong đợt cập nhật bản vá này ảnh hưởng đến phần mềm máy chủ Oracle WebLogic là một phần Oracle Fusion Middleware (CVE-2017-10137 - điểm CVSS là 10), OJVM của phần mềm máy chủ cơ sở dữ liệu Oracle (CVE-2017-10202 - điểm CVSS là 9,9), Oracle Communications BRM của Ứng dụng truyền thông Oracle (CVE-2015-3253 - điểm CVSS là 9,8), MICROS PC Workstation 2015 của Ứng dụng khách sạn Oracle (CVE-2017-5689 - điểm CVSS là 9,8) và MySQL Enterprise Monitor của Oracle MySQL (CVE-2016-4436 - điểm CVSS là 9.8).
Người dùng cần cập nhật Oracle E-Business Suite bản mới nhất để nhận được bản vá tất cả các lỗ hổng.
