ارائه‌ی ۱۳۶ وصله‌ی امنیتی توسط اوراکل در به‌ٰروز‌رسانی‌های آوریل

اوراکل هفته‌ی گذشته به عنوان بخشی از به‌روز‌رسانی‌های حیاتی و ضروری، ۱۳۶ آسیب پذیری را برای ۴۶ محصول متفاوت وصله کرد. بیش از نیمی از این آسیب‌پذیری‌ها یعنی ۷۲ مورد بدون هیچ گونه احراز هویتی از راه دور قابل بهره‌برداری بوده‌اند.
تعمیرات برای تعداد زیادی از محصولات از جمله سرور پایگاه داده‌ای ارواکل، مجموعه E-Business، سفت‌افزار Fusion در کنار محصولات Sun، زیر ساخت Java SE و پایگاه داده‌ای MySQL در روز سه‌شنبه منتشر شد. این به‌روز‌رسانی دومین به‌روز‌رسانی این شرکت در سال ۲۰۱۶ است و با وجود تعداد زیاد وصله‌ها که در کنار به‌روز‌رسانی قدیمی اوراکل و در مقایسه با به‌روز‌رسانی‌های بسیاز زیاد ماه ژانویه که ۲۴۸ عدد وصله منتشر شد، این به‌روز‌رسانی نیز بسیار بزرگ است.
از بین تمامی محصولاتی که این هفته وصله‌هایی دریافت کردند، به روزرسانی MySQL اوراکل بیشترین تعداد وصله‌ها را داشت (۳۱ وصله)؛ که چهار مورد آن از راه دور قابل اجرا هستند. سفت‌افزار Fusion اوراکل نیز در رتبه‌ی بعدی قرار گرفت (۲۲ وصله) که تقریباً همه آن‌ها (۲۱ مورد) از راه دور قابل بهره‌برداری هستند.
اوراکل برای ارزیابی دقیق‌تر میزان خطر، نسخه‌ی سازوکار درجه‌بندی به آسیب‌پذیری رایج را به CVSS V.۳.۰ تغییر داد. با این سامانه‌یجدید، از نظر فنی هیچ آسیب‌پذیری نمره ۱۰ نگرفت. با نسخه ۳.۰ که اوراکل برنامه دارد از آن در آینده نیز استفاده کند، آسیب‌پذیری ها با درجه‌های پایه‌ای CVSS ۱۰.۰ باید دوباره درجه بندی شوند. آسیب‌پذیری Solaris و MySQL هر دو اکنون نمره‌ی پایه‌ای ۹.۸ دارند در حالی که آسیب پذیری‌های Java SE نمره‌ی پایه‌ای اصلاح شده‌ی کم‌تری دارند.
با نسخه‌ی V.۲.۰ تنها هفت مورد، بحرانی شناخته شدند اما با نسخه‌ی جدید V۳.۰، در حدود ۱۷ آسیب پذیری نمره‌ی بالاتر از ۹٫۵ گرفتند و بحرانی در نظر گرفته شدند.
تغییر نسخه از V۲.۰ به V۳.۰ (سامانه‌ای که اولین بار در ژوئن سال ۲۰۱۵ پس از سه سال تغییرات و پیشرفت معرفی شد) به دید برخی از متخصصان امنیتی اوراکل از جمله الکساندر پولیاکوف، پیشرفتی بزرگ است. او مدیر عامل شرکت ERPScan در کالیفرنیاست که به شرکت‌ها کمک می‌کند تا سامانه‌های برنامه ریزی منابع سازمانی اوراکل (ERP) را ایمن کنند.
پولیاکوف در روز چهارشنبه گزارش داد: «خوشحالم که چنین تغییراتی را در سامانه‌ی درجه بندی می‌بینم چرا که بحث‌های بسیاری در مورد کیفیت نمره‌دهی CVSS نسخه V.۲.۰ وجود داشت. برای مثال شرکت‌ها می‌توانستند آسیب‌پذیری‌های کشف شده در محصولاتشان را به علت برخی حفره‌ها در این سامانه‌ی درجه بندی، به صورت بحرانی کم (عمدی یا غیر عمدی) درجه بندی کنند. اکنون این سامانه‌ی به‌روز‌رسانی صحیح‌تر است و بسیاری از اشکالاتی که روی نسخه‌ی قبلی تاثیر می‌گذاشت در این نسخه برطرف شده اند».
پولیاکوف همچنین SAP که شرکت ERP دیگری است و سامانه‌ی خود را درماه مارس به CVSS V.۳.۰ تغییر داده است را تحسین کرد.
علاوه بر تعمیراتی که در روز سه‌شنبه منتشر شد، اوراکل کاربران را تشویق می‌کند که اگر تا حالا این کار را نکرده‌اند، وصله‌هایی را از ماه گذشته و زمانی که هشدار خارج از نوبت برای Java SE منتشر شد را به کار گیرند. در این هشدار حفره‌ای را تعمیر کرد که به مهاجمان اجازه می‌دهد کدی را از راه دور اجرا کنند و سندباکس جاوا که در سال ۲۰۱۳ به درستی وصله نشده بود را دور بزنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap