اوراکل در به‌روزرسانی ماه اکتبر ۲۰۱۷ میلادی، ۲۵۲ آسیب‌پذیری را وصله کرد

روز سه‌شنبه اوراکل به‌روزرسانی حیاتی خود برای اکتبر ۲۰۱۷ میلادی را منتشر کرد تا در مجموع ۲۵۲ آسیب‌پذیری امنیتی که در چند خانواده‌ی محصولات این شرکت وجود داشت را وصله کند. بیش از نیمی از این اشکال‌ها ممکن است بدون نیاز به احراز هویت از راه دور قابل‌بهره‌برداری باشند. محصولاتی مانند میان‌افزار فیوژن با ۴۰ آسیب‌پذیری و ۲۶ بهره‌برداری از راه دور بدون احراز هویت، برنامه‌های Hospitality با ۳۷ آسیب‌پذیری و ۱۳ بهره‌برداری از راه دور، مجموعه‌ی کسب‌وکار الکترونیک با ۲۶ آسیب‌پذیری و ۲۵ بهره‌برداری، مای‌اس‌کیوال با ۲۵ آسیب‌پذیری و ۶ بهره‌برداری، محصولات PeopleSoft با ۲۳ آسیب‌پذیری و ۱۳ بهره‌برداری، برنامه‌های ارتباطی با ۲۳ آسیب‌پذیری و ۱۸ بهره‌برداری و SE جاوا با ۲۲ آسیب‌پذیری و ۲۰ بهره‌برداری بیشترین آسیب‌پذیری را در این ماه داشته‌اند.

شرکت اوراکل در سال جاری ۱۱۱۹ آسیب‌پذیری را در محصولات خود وصله کرده است که ۲۲ درصد بیشتر از سال ۲۰۱۶ میلادی است. این تعجب‌آور نیست، توجه داشته باشید که در به‌روزرسانی حیاتی ماه‌های آوریل و ژوئیه‌ی سال ۲۰۱۷ میلادی ۳۰۰ وصله منتشر شده است. از ۲۵۲ آسیب‌پذیری که در این به‌روزرسانی حیاتی رفع شده‌اند، ۱۸۲ آسیب‌پذیری یا در مجموع ۷۲ درصد از آن‌ها برنامه‌های حیاتی کسب‌وکار را تحت ‌تاثیر قرار می‌دهند. محصولات تحت‌ تاثیر همچنین شامل مجموعه‌ی محصولات سامانه‌های سان با ۱۰ آسیب‌پذیری، برنامه‌های خرده‌فروشی با ۹ آسیب‌پذیری، برنامه‌های مدیریت ارتباط با مشتریان Siebel با ۸ آسیب‌پذیری، مجموعه‌ی محصولات زنجیره‌ی تامین با ۷ آسییب‌پذیری، مجازی‌سازی با ۶ آسیب‌پذیری، کارگزار پایگاه داده با ۶ آسیب‌پذیری، نرم‌افزار مدیریت کارآیی Hyperion با ۴ آسیب‌پذیری، محصولات ادواردس جی‌دی با ۲ آسیب‌پذیری، برنامه‌های خدمات مالی با ۲ آسیب‌پذیری، برنامه‌های کاربردی علوم پزشکی با ۱ آسیب‌پذیری، مجموعه‌ی ساخت‌وساز مهندسی با ۱ آسیب‌پذیری و مدیریت شبکه‌ی سازمانی با ۱ آسیب‌پذیری هستند.

مهم‌ترین آسیب‌پذیری‌هایی که این ماه وصله شدند تجزیه و تحلیل و گزارش‌های مهمان‌داری، برنامه‌های Siebel، و برنامه‌ی مهمان‌داری کروز دریایی با امتیاز CVSS مقدار ٫۹۹ از ۱۰ را تحت‌تاثیر قرار می‌دهند. یک مهاجم با بهره‌برداری از این آسیب‌پذیری‌ها می‌تواند کنترل برنامه را به‌دست گرفته و یا حمله‌ی منع سرویس توزیع‌شده برنامه را متوقف کند. از ۲۶ آسیب‌پذیری وصله‌شده در مجموعه‌ی کسب‌وکار الکترونیک اوراکل، ۲۱ مورد به عنوان خطر مهم و ۲ مورد به عنوان کم‌خطر و ۳ مورد بی‌اهمیت برآورد شده‌اند. ۱۵ مورد از این آسیب‌پذیری‌ها توسط Onapsis که یک شرکت متخصص در امنیت اوراکل و محصولات SAP است، کشف شده است و سه مورد از آن‌ها از آسیب‌پذیری‌های تزریق اس‌کیوال غیرقابل‌شناسایی بودند.

در نسخه‌های ۱۲.۱ و ۱۲.۲ مجموعه‌ی کسب‌وکار الکترونیک اوراکل آسیب‌دیده، آسیب‌پذیری می‌تواند در سراسر شبکه بدون هیچ گواهی‌نامه‌ی نام کاربری و گذرواژه مورد سوءاستفاده قرار گیرد. شرکت Onapsis گفت، با بهره‌برداری از این آسیب‌پذیری، یک مهاجم به طور بالقوه می‌تواند به اسناد و اطلاعات حیاتی از جمله داده‌های کارت اعتباری، اطلاعات مشتری، اسناد اچ‌آر و اسناد مالی دسترسی پیدا کرده و آن‌ها را تغییر دهد. ۹ آسیب‌پذیری دیگر توسط ERPscan که شرکتی است که روی برنامه‎های SAP و اوراکل تمرکز دارد، کشف شده است، تمام این آسیب‌پذیری‌های تزریق کد یا اسکریپت بین-وب‌گاهی (XSS) هستند و امتیاز CVSS آن‌ها ۸٫۲‎ است. یک مهاجم با بهره‌برداری از این آسیب‌پذیری‌ها می‌تواند کوکی‌ها را به سرقت ببرد و یا حملات جعل درخواست بین-وب‌گاهی انجام دهد.

ماریانو نونز، مدیرعامل اجرایی در Onapsis گفت: «پیام اوراکل به مشتریانش واضح و رسا بود: شما باید امنیت سایبری را در اولویت بالا قرار دهید. سازمان‌ها هنوز هم باید روی اعمال وصله‌ها در لایه‌ی برنامه‌ی حیاتی کسب‌وکار تمرکز کنند. این یک فرآیند پیچیده است و گاهی اوقات در نتیجه‌ی آسیب‌پذیری‌های بین فناوری اطلاعات، برنامه‌ و گروه‌های امنیتی شکسته می‌شود.» مجموعه‌ی کسب‌وکار الکترونیکی اوراکل یکی از مهم‌ترین برنامه‌های حیاتی است که توسط سازمان‌های بزرگ برای برنامه‌ریزی منابع شرکت‌ها، مدیریت ارتباط با مشتریان، مدیریت زنجیره‌ی تامین، مدیریت مالی، مدیریت سرمایه‌ی انسانی، تدارکات استفاده می‌شود.

ماه گذشته اوراکل وصله‌هایی را برای رفع آسیب‌پذیری‌های موجود در چارچوب آپاچی استراتس۲ از جمله CVE-۲۰۱۷-۹۸۰۵ که به‌طور فعال توسط مهاجمان مورد بهره‌برداری قرار گرفت را منتشر کرد. برخی از محصولات آسیب‌دیده‌ی اوراکل شامل نظارت سازمانی بر مای‌اس‌کیو‌ال، مدیریت سیاست ارتباطات، بانکداری خصوصی FLEXCUBE، خرده‌فروشی XBRi، Siebel، کارگزار وب‌لاجیک و محصولات خدمات مالی و بیمه‌ی مختلف هستند.

کانال اخبار فناوری اطلاعات نماد امن

منبع: asis

درباره نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.