ثبت رکورد تعداد وصله‌های امنیتی توسط اوراکل

به‌روزرسانی‌های فصلی اوراکل ملقب به CPU به لحاظ حجم‌ وحشتناک خود مشهور هستند، و معمولاً شامل تعداد زیادی از اصلاحیه‌ها هستند که مدیران سامانه‌ها و پایگاه‌های داده باید هر سه ماه یک بار آن‌ها را اعمال کنند. با این حال CPUهای منتشرشده‌ی جدید بسیار فراوان هستند.
اوراکل رکورد ۲۴۸ اصلاحیه را روز سه‌شنبه برای آسیب‌پذیری برای محصولات خود ثبت کرد. این میزان، از تعداد ۱۹۳ اصلاحیه‌ای را که در ماه جولای گذشته ثبت شده بود، عبور کرد و برای اولین بار از مرز ۲۰۰ CPU رد شد. در مقایسه با آن آخرین به‌روزرسانی در سال ۲۰۱۵ در ماه اکتبر رقم پایین‌تر ۱۵۴ اصلاحیه را در بر داشت.
از این ۲۴۸ آسیب‌پذیری، پنج مورد از آن‌ها در سامانه‌ی امتیازدهی آسیب‌پذیری‌های مشترک نمره‌ی ۱۰.۰ را کسب کرده‌اند که از این میان سه مورد نیز در جاوا بوده‌اند. در مجموع هشت آسیب‌پذیری جاوا وجود داشته است، و همه‌ی آن‌ها به جز یکی می‌توانستند بدون نیاز به احراز هویت از راه دور مورد استفاده قرار گیرند. یکی از آن‌ها در Java SE ۲D API برای گرافیک و تصویر یافته شده بود و دو مورد دیگر در Java AWT که بخشی از API استاندارد برای ارائه‌ی یک GUI در برنامه‌ی جاوا است، کشف شده‌اند.
ولفگانگ کاندک مدیر اجرایی Qualys در یکی از پست‌های خود در وبلاگ قوانین آسیب‌پذیری Qualys می‌گوید: «از هر سه مورد، دو مورد تنها در سمت سرویس‌‌گیرنده اعمال می‌شود (سناریویی که توجه زیادی را لازم دارد)، اما یکی نیز در سمت سرویس‌دهنده است و باید توسط تیم کارگزار مورد بررسی قرار گیرد.»
جاوا دیگر همچون چند سال قبل هنگامی که حملات هدفمند و بسته‌های نفوذی تمرکز خود را شدیداً بر آسیب‌پذیری‌های سامانه‌ی آن معطوف کرده بودند، یک هیولای امنیتی نیست. اوراکل تغییراتی را در آن اعمال کرده است، به ویژه در حوزه‌هایی چون امنیت applet‌ها یا برنامک‌های جاوا و برای مثال از اجرای applet‌های بدون امضاء در آن جلوگیری می‌کند. سازندگان مرورگرها نیز اقدامات مشابهی را برای بررسی جاوا انجام داده‌اند.
کاندک گفته است: «همه‌ی این‌ها موجب ثبات بیشتر محیط جاوا می‌شود و ما دیگر چیزی در مورد استفاده از آن برای هیچ حمله‌ی اصلی و عمده‌ای نمی‌شنویم.»
دو آسیب‌پذیری باقی‌مانده که به صورت بحرانی نمره‌ی ده را دریافت کرده‌اند، در Oracle Golden Gate یافت شده‌اند که ابزار مدیریت تغییر و سابقه‌های این شرکت است. این نقص‌ها از راه دور در دسترس قرار می‌گیرند و می‌توانند بدون نیاز به احراز هویت مورد سوءاستفاده قرار گیرند.
اوراکل می‌گوید: «حیاتی‌ترین حفره‌ها در ویندوز برای Oracle Database در نسخه‌های قبل از ۱۲c یافته شده‌اند.»
اوراکل در مجموع به ده آسیب‌پذیری در پرچم‌دار خود Oracle Database Server رسیدگی کرده است که شامل سه آسیب‌پذیری در Golden Gate می‌شود. هیچ‌کدام از هفت مورد باقی مانده از راه دور قابل بهره‌برداری نیستند.
علاوه بر این اوراکل اشکالات حیاتی دیگری را نیز در بسیاری از محصولات نرم‌افزاری شرکتی خود رفع کرده است. از این میان ۷۸ وصله برایE-Business Suite، که ۶۹ وصله‌ی آن برای مشکلاتی بودند که بدون احراز هویت از راه دور مورد بهره‌برداری قرار می‌گیرند. این مجموعه شامل برنامه‌های کاربردی حیاتی نظیر نرم‌افزار مدیریت مالی، مجموعه‌های پشتیبانی و ارتباط با مشتری هستند. دو مورد از این آسیب‌پذیری‌ها به وسیله‌ی ERPScan که یک شرکت امنیتی است و بر امنیت نرم‌افزارهای برنامه‌ریزی منابع شرکت‌ها تمرکز دارد، کشف شده است.
ERPScan در تحلیل خود از این CPUها می‌گوید: «این نرم‌افزارها داده‌های بسیار ارزشمند شرکت‌ها را نظیر اطلاعات HR، اطلاعات مالی، فهرست مشتریان و تأمین‌کنندگان و دیگر اطلاعات از این نوع را جمع‌آوری و پردازش می‌کنند. در صورت یک حمله‌ی موفق، یک فرد مخرب می‌تواند داده‌های مربوط به کمیت منابع موجود را دست‌کاری کند، قیمت‌ها را تغییر دهد، وجوه را جابه‌جا کند و گزارشات مالی را عوض کند و این‌ها تنها چند مورد محدود هستند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap