در به‌روزرسانی‌های امنیتی اوراکل برای محصولات خود در آوریل سال ۲۰۱۸ میلادی نزدیک به ۲۵۴ آسیب‌پذیری وصله شده است که ۱۵۳ مورد از آن‌ها در محصولات حیاتی تجاری وجود دارند. در این به‌روزرسانی ۱۹ محصول از شرکت اوراکل به‌روزرسانی‌های امنیتی اوراکل را دریافت کرده‌اند و بیشتر آسیب‌پذیری‌ها از راه دور قابل بهره‌برداری هستند.

به گزارش وبگاه خبری تخصصی امنیت آی تی؛ ۴۲ مورد از این آسیب‌پذیری‌ها در به‌روزرسانی‌های امنیتی اوراکل در این ماه حیاتی محسوب می‌شوند و در سیستم نمره‌دهی شدت آسیب‌پذیری، نمره‌ی ۹٫۸ از ۱۰ را دریافت کرده‌اند. محصولاتی که تحت تاثیر این آسیب‌پذیری‌های حیاتی قرار گرفته‌اند عبارتند از: Fusion Middleware، Financial Services، PeopleSoft، EBS و Retail Applications.

محصول Fusion Middleware تقریبا ۳۹ وصله‌ی امنیتی دریافت کرده و در بین دیگر محصولات رتبه‌ی اول را در دریافت وصله‌های امنیتی در ماه آوریل کسب کرده است. اوراکل در مشاوره‌نامه‌ی خود توضیح داده است که یک سوم از این آسیب‌پذیری‌ها از راه دور و بدون نیاز به احراز هویت قابل بهره‌برداری هستند.

در رتبه‌ی بعدی دریافت وصله‌های امنیتی، محصول Financial Services با ۳۶ وصله‌ی امنیتی قرار دارد که ۱۸ مورد از آن‌ها از راه دور و بدون نیاز به احراز هویت قابل بهره‌برداری هستند. در ادامه نیز MySQL با ۳۳ آسیب‌پذیری که ۲ مورد از راه دور قابل بهره‌برداری هستند و Retail Applications با ۳۱ آسیب‌پذیری در رتبه‌های بعدی قرار دارند.

دیگر آسیب‌پذیری‌هایی که اوراکل وصله کرده به شرح زیر است:

•در Java SE تعداد ۱۴ آسیب‌پذیری که ۱۲ مورد از آن‌ها از راه دور و بدون نیاز به احراز هویت قابل بهره‌برداری هستند.

•در محصول Sun Systems Products Suite تعداد ۱۴ آسیب‌پذیری که ۳ مورد از راه دور قابل بهره‌برداری هستند.

•در محصول Hospitality Applications تعداد ۱۳ آسیب‌پذیری (۴ مورد قابل بهره‌برداری از راه دور)

•در محصول Virtualization تعداد ۱۳ آسیب‌پذیری (۳ مورد قابل بهره‌برداری از راه دور)

•در محصول E-Business Suite تعداد ۱۲ آسیب‌پذیری (۱۱ مورد قابل بهره‌برداری از راه دور)

•در محصول PeopleSoft تعداد ۱۲ آسیب‌پذیری (۸ مورد قابل بهره‌برداری از راه دور)

•و در Enterprise Manager Products Suite تعداد ۱۰ آسیب‌پذیری (۸ مورد قابل بهره‌برداری از راه دور).

دیگر محصولاتی که تحت تاثیر قرار گرفته‌اند عبارتند از:

•Communications Applications

•Supply Chain Products Suite

•Construction and Engineering Suite

•JD Edwards Products

•Siebel CRM

•Database Server

•Support Tools

•Utilities Applications

در مجموع ۱۵۳ مورد از آسیب‌پذیری‌هایی که در به‌روزرسانی امنیتی ماه آوریل وصله شده‌اند، محصولات حیاتی تجاری را تحت تاثیر قرار می‌دهند. پژوهش‌گران اعلام کردند تقریبا ۶۹ درصد از این آسیب‌پذیری‌ها از راه دور و بدون نیاز به وارد کردن هیچ‌گونه گواهی‌نامه‌ای قابل بهره‌برداری هستند. همچنین اعلام شده که اوراکل نزدیک به ۱۱۰ هزار مشتری از صنایع مختلف دارد که این مسأله لزوم نصب وصله‌ها را بیشتر می‌کند.

یکی از آسیب‌پذیری‌های حیاتی که در به‌روزرسانی‌های اوراکل وصله شده دارای شناسه‌ی CVE-۲۰۱۸-۷۴۸۹ است که در نمره‌دهی CVSS امتیاز ۹٫۸ را دریافت کرده است. این آسیب‌پذیری به مهاجمی که احراز هویت نشده است و به شبکه دسترسی دارد، اجازه می‌دهد تا به‌طور کامل مولفه‌ی آسیب‌پذیر را از کار بیندازد.

این آسیب‌پذیری در محصول Financial Services Applications چندین مولفه از جمله Risk Measurement and Management، Hedge Management and IFRS Valuations و Analytical Applications Infrastructure را تحت تاثیر قرار داده است.

یکی دیگر از آسیب‌پذیری‌های حیاتی دارای شناسه‌ی CVE-۲۰۱۸-۲۶۲۸ است که مولفه‌ی سرور WebLogic را که یکی از مولفه‌های محصول Fusion Middleware است، تحت تاثیر قرار داده است. این آسیب‌پذیری توسط نفوذگری که به شبکه دسترسی دارد و با استفاده از پروتکل انتقال T۳ قابل بهره‌برداری است.

آسیب‌پذیری حیاتی دیگر دارای شناسه‌ی CVE-۲۰۱۷-۵۶۴۵ است که در محصول JD Edwards مولفه‌ی JD Edwards World Security را تحت تاثیر قرار داده است. آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۷-۵۶۴۵ در محصول Retail Applications مولفه‌ی Retail Order Management System را تحت تاثیر قرار داده است. اگر مهاجم بتواند با موفقیت از این آسیب‌پذیری‌ها بهره‌برداری کند، خواهد توانست کنترل دستگاه آسیب‌پذیر را به‌طور کامل در دست بگیرد.

نظر شما!!