وصله‌ی ۲۵۳ آسیب‌پذیری در به‌روزرسانی‌های اوراکل

۱۱اوراکل این هفته به‌روزرسانی وصله‌های جدی خود را برای اکتبر ۲۰۱۶ منتشر کرد تا ۲۵۳ آسیب‌پذیری را در چندین محصول برطرف کند. تقریباً نصف این آسیب‌پذیری‌ها از راه دور قابل بهره‌برداری هستند.

محصولات اوراکل در این سه ماهه بیشترین تعداد وصله‌ها را دریافت کردند. این محصولات عبارتند از: برنامه‌های ارتباطی اوراکل (۳۶ وصله)، مای‌اس‌کیو‌ال (۳۱ وصله)، میان‌افزار فیوژن (۲۹ وصله)، برنامه‌ی سرویس‌های مالی (۲۴ وصله)، سوئیت کسب‌وکار الکترونیک (۲۱). پایگاه داده‌ی اوراکل، Java SE ،PeopleSoft و برنامه‌های خرده‌فروشی نیز این وصله‌ها را دریافت کردند.

به‌روزرسانی‌های این ماه پس از به‌روزرسانی‌های ماه جولای با ۲۷۶ وصله، در رتبه‌ی دوم تعداد وصله‌ها قرار دارد. این ماه اوراکل نقص‌های جدی متعددی را در محصولات خود از جمله یک آسیب‌پذیری در سرویس HTTP سوئیت کسب‌وکار الکترونیکی اوراکل وصله کرده است.

سوئیت کسب‌وکار الکترونیکی اوراکل یکی از محصولاتی است که بسیار تحت تأثیر قرار گرفته و از ۲۱ آسیب‌پذیری با درجه‌ی بالا، ۱۱ آسیب‌پذیری مربوط به این محصول است. ۱۴ مورد از این آسیب‌پذیری‌ها بدون احراز هویت از راه دور قابل بهره‌برداری بودند بدین معنی که یک مهاجم در سطح شبکه و بدون داشتن گواهی‌نامه می‌تواند از آن‌ها بهره‌برداری کند. بیشینه امتیاز CVSS در بین این ۲۱ آسیب‌پذیری ۸.۲ بود.

براساس گزارش‌های ERPScan، که شرکتی متخصص در زمینه‌ی امنیت SAP و اوراکل است، بیشتر نقص‌ها مؤلفه‌ی EBS اوراکل در کارگزار وب را تحت تأثیر قرار می‌دهد. این اشکال که از راه دور قابل بهره‌برداری است، به یک مهاجم غیرمجاز دارای دسترسی به شبکه از طریق HTTP این امکان را می‌دهد تا کارگزار HTTP اوراکل را آلوده کند که در نتیجه‌ی آن شرایط حمله‌ی منع سرویس و دسترسی ِ خواندن غیرمجاز داده‌ها فراهم خواهد شد. این شرکت همچنین خاطر نشان کرد در سطح اینترنت نزدیک به ۱۵ هزار کارگزار HTTP اوراکل وجود دارد.

بیشتر مسائل جدی که این ماه برطرف شد، شامل ۴ اشکال با امتیاز CVSS برابر با ۹.۸ است که عبارتند از:
آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۵-۳۲۵۳ که در محصول Fusion Middleware مؤلفه‌ی کشف داده‌های کلان را تحت تأثیر قرار می‌داد.
آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۶-۳۵۵۱ که در محصول Fusion Middleware مؤلفه‌ی سرویس وب را تحت تأثیر قرار می‌داد.
آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۶-۵۵۳۵ در محصول Oracle Fusion Middleware که مؤلفه‌ی کارگزار WebLogic را تحت تأثیر قرار می‌دهد.
آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۵-۳۲۵۳ در محصول Oracle Commerce که مؤلفه‌ی بستر Commerce را تحت تأثیر قرار می‌دهد.

همچنین یک آسیب‌پذیری با CVSS برابر با ۹.۶، آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۶-۵۵۸۲ است که Java SE و مؤلفه‌ی Java SE Embedded را تحت تأثیر قرار می‌داد.
اوراکل به‌طور کلی در به‌روزرسانی‌های اکتبر ۲۰۱۶ برای محصول Java SE تعداد ۷ وصله را منتشر کرد که نسخه‌های ۶، ۷ و ۸ جاوا را تحت تأثیر قرار داده بود. تمامی این آسیب‌پذیری‌ها از راه دور بدون داشتن مجوز قابل بهره‌برداری بوده و امتیاز CVSS برابر با ۹.۶ داشتند. به گفته‌ی اوراکل، این آسیب‌پذیری‌ها بر روی برنامه‌های Java Web Start جعبه شنی ِ در حال اجرا بر روی کارخواه و یا اپلیت‌های جعبه شنی جاوا که کدهای غیرقابل اعتماد را اجرا می‌کنند، قابل اعمال است ولی کارگزارهای جاوا که کدهای قابل اعتماد را اجرا می‌کنند، تحت تأثیر قرار نمی‌دهد.

مدیرعامل Waratek جان متی هولت۱ در اظهارنظری راجع‌به به‌روزرسانی‌های ماه اکتبر اوراکل گفت: «بخاطر اینکه تمامی آسیب‌پذیری‌ها در جاوا از راه دور قابل بهره‌برداری هستند، هر برنامه‌ای که بر روی نسخه‌های قبلی یا جاری جاوا اجرا می‌شود، در برابر حملات از راه دور آسیب‌پذیر هستند.»
او در ادامه می‌گوید: «دو مورد از آسیب‌پذیری‌های Java Platform مؤلفه‌ی JMX و Networking API را تحت تأثیر قرار می‌دهد. این دو API اکثراً در برنامه‌های کاربردی ساده‌ی جاوا در حال استفاده هستند. به عبارت دیگر برنامه‌های تجاری جاوا با API های آسیب‌پذیر کار می‌کنند و در اسرع وقت برای وصله شدن باید در اولویت قرار بگیرند.»

این مدیرعامل اشاره می‌کند برنامه‌های کاربردی WebLogic مبتنی بر جاوا، به‌طور جدی با این وصله‌ها و ۵ آسیب‌پذیری در WebLogic نسخه‌های ۱۰ و ۱۲ که از راه دور بدون داشتن مجوز بر روی پروتکل‌های HTTP و HTTPS قابل بهره‌برداری‌ هستند، تحت تأثیر قرار گرفته است. این آسیب‌پذیری‌های قابل بهره‌برداری از راه دور بسیار نگران‌کننده هستند چرا که به برنامه‌های مبتنی بر جاوا، دسترسی HTTP/HTTPS همه‌جانبه اختصاص می‌دهند.
هولت ادامه می‌دهد: «علاوه بر این، بخاطر اینکه این آسیب‌پذیری‌ها امتیاز CVSS بالایی دارند، یک بهره‌برداری موفق تنها باعث به سرقت رفتن پشته‌ی برنامه نخواهد شد بلکه اطلاعات محرمانه‌ی برنامه نیز افشاء خواهد شد. برنامه‌های تجاری مهم مبتنی بر جاوا WebLogic و GlassFish که بر روی رایانه‌ها اجرا می‌شوند، نیاز است تا فوری پشته‌ی نرم‌افزاری خود را به‌روزرسانی کنند تا از امنیت و محرمانگی اطلاعات خود حفاظت کنند.»

او همچنین اشاره کرد که به روزرسانی‌های ماه اکتبر اوراکل و وصله‌هایی که برای بستر جاوا ارائه داده نسبت به سه‌ماهه‌های قبلی از حالت عادی خارج نیست چرا که اوراکل به‌طور مداوم آسیب‌پذیری‌های مهم را در بستر جاوا وصله کرده است.
در طرف دیگر ERPScan تأکید می‌کند که در وصله‌ی اوراکل برای سال ۲۰۱۶ رکورد ثبت شده است. ماه اکتبر با ۲۵۳ وصله، بعد از جولای با ۲۷۶ وصله در مقام دوم قرار دارد و این در حالی است که تعداد وصله‌ها در ماه ژوئن ۲۴۸ بوده است.

الکساندر پولیاکوف، مدیرعامل ERPScan گفت: «اوراکل امسال را با به‌روزرسانی و برطرف کردن ۲۴۸ آسیب‌پذیری شروع کرد به‌طوری که فوراً در سرفصل تعداد وصله‌های ارائه‌شده قرار گرفت. تا به امروز، به نظر می‌رسد این به‌روزرسانی وصله‌ها به یک بازی در حال تغییر تبدیل شده است. ما می‌توانیم فرض کنیم که تجاوز از تعداد دویست نمی‌تواند اتفاقی باشد. به نظر می‌رسد این روند برای تمامی وصله‌های منتشرشده در سال ۲۰۱۶ بجز به‌روزرسانی آوریل وجود داشته است.»

۱. John Matthew Holt

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter