Oracle aplică fraude și verificări false care permit bug-uri – Securitate – Software


Oracle și-a emis setul regulat de securitate patch-uri pentru trimestrul ianuarie, abordând un număr mare de 334 de vulnerabilități în mai multe produse, cu multe defecte, care pot fi exploatate de la distanță, fără credențe de utilizator.

Furnizorul de securitate Cercetătorul Onapsis, Martin Doyhenard, este creditat de Oracle pentru că a găsit cele două erori considerate cele mai grave cu un index de 9,9 Vulnerabilități Scoring System (CVSS) 3.0 fiecare.

Vulnerabilitățile din modulul Diagrammeri de resurse umane al Oracle, parte a versiunilor E-Business Suite 12.1.1-12.1.3 12.2.3-12.2.9 software de planificare a resurselor de întreprindere, pot fi exploatate de la distanță fără a fi necesară autentificarea sau interacțiunea utilizatorului, cu atacurile fiind ușor de condus.

Onapsis spus vulnerabilitățile pe care le-a raportat pot fi exploatate de atacatori pentru a crea transferuri de sârmă rău intenționate sau pentru a imprima verificări false.

Cele două vulnerabilități sunt legate de defectele anterioare din Oracle's Thin Client Framework (TCF) care utilizează driverele Java Database Connectivity.

Ei se întorc până în 2017, când Onapsis le-a raportat pentru prima dată și au primit plasturi de atunci.

Chiar dacă noile vulnerabilități se află în modulul Resurse Umane, Oracle a avertizat că „atacurile pot afecta semnificativ produsele suplimentare”.

În afară de scenariile de fraudă, sistemele Oracle EBS neatacate prezintă riscul de a compromite datele.

În total, Oracle EBS a primit 23 de patch-uri, cu 21 de vulnerabilități în CPU din ianuarie fiind listate ca exploatabile de la distanță fără autentificare.

Modulele suitei de aplicații de comunicare Oracle, cum ar fi Serverul de mesagerie instant, Recorderul de sesiuni interactive, Activatorul de servicii IP și Managementul inventarului unificat sunt, de asemenea, vulnerabile la atacurile de la distanță fără autentificare, cu cinci defecte notate la CVSS 9.8 fiecare.

Alte 34 de vulnerabilități CVSS 9.8 se regăsesc în modulele de construcții și inginerie Oracle, Enterprise Manager, Fusion Middleware, GraalVM, Științele sănătății, Hyperion, JD Edwards, PeopleSoft, Retail Applications, Siebel, Systems și Utilities module.

Oracle avertizează că continuă să primească periodic rapoarte despre încercări rău intenționate de exploatare a vulnerabilităților pentru care au fost eliberate patch-uri, dar pe care clienții nu au reușit să le aplice.

Gigantul IT a îndemnat clienții să utilizeze doar versiuni de produse acceptate în mod activ și să aplice fără întârziere patch-uri critice de securitate.



Source link

Lasă un răspuns