Oracle بهتازگی بهروزرسانی امنیتی بحرانی را منتشر کرده که ۲۷۶ نقص امنیتی در صدها محصول خود را اصلاح میکند. این شرکت در سال ۲۰۱۵ بهطور متوسط در هر بهروزرسانی ۱۶۱ آسیبپذیری و در سال ۲۰۱۴ تعداد ۱۲۸ آسیبپذیری را اصلاحکرده بود؛ درنتیجه این بروز رسانی را به بزرگترین در نوع خود تبدیل کرده است. از این میان، ۱۵۹ تای آن میتواند از راه دور و بدون تصدیق اصالت اکسپلویت شود. جدولی که در ادامه میآید محصولات مختلف را به ترتیب تعداد نقصها لیست میکند. ازآنجاییکه بیشتر شرکتها گروههای متفاوتی برای وصله کردن پایگاه داده، اجزای شبکه، سیستمعامل، سرور برنامههای کاربردی و سیستمهای ERP خود دارند، بستهی بزرگ بهروزرسانی را به دستههایی که در ادامه میآید تقسیم کردهایم.
| محصول | تعداد آسیب پذیری |
| Fusion Middleware | ۳۹ |
| Sun Systems | ۳۴ |
| Supply Chain | ۲۷ |
| E-Business Suite | ۲۳ |
| MySQL | ۲۲ |
| Siebel CRM | ۱۶ |
| Communications | ۱۶ |
| Retail | ۱۶ |
| Oracle Primavera | ۱۵ |
| Java SE | ۱۳ |
| Database Server | ۹ |
| Enterprise Manager Grid Control | ۹ |
| Insurance | ۸ |
| PeopleSoft | ۷ |
| Health Sciences | ۵ |
| Financial Services | ۴ |
| Policy Automation | ۴ |
| Linux and Virtualization | ۴ |
| Utilities | ۳ |
| Hyperion | ۱ |
| JD Edwards | ۱ |
در ابتدا، به وصلههای مربوط به Java SE اشاره میشود که تعداد ۱۳ آسیبپذیری هستند و ۹ تای آن از راه دور قابل سوءاستفاده هستند.
برای گروههای وصله کنندهی پایگاه داده، در بالای فهرست، MySQL شامل ۲۲ نقص اصلاحشده و سرور پایگاه دادهی Oracelبا ۹ نقص اصلاحشده قرار دارند. معمولاً پایگاه دادهها بهطور مستقیم از اینترنت قابلدسترسی نیستند اما ازآنجاییکه اطلاعات حیاتی سازمانها را نگهداری میکنند، وصله کردن آنها را بهشدت توصیه میکنیم.
در بالای لیست وب سرورها، محصولاتی هستند که میتوان از بیرون شبکه به آنها دسترسی پیدا کرد مانند Oracle Http Server, Weblogic Server, GlassFish erver. اینها معمولاً در Fusion Middleware قرار میگیرند و ۳۵ تا از ۳۹ آسیبپذیری آن از راه دور و بدون تصدیق اصالت اکسپلویت میشود. محصولات دیگری مانند Enterprise manager Grid Control, E-Business Suite, Supply Chain Products که مؤلفههای پاسخگوی آنها تحت تأثیر گرفته نیز در این فهرست آمدهاند در همهی این محصولات، بردار حملهی اصلی HTTP است.
برای سیستمعامل و تجهیزات شبکه، تمرکز بر Solaris و Linux است و وصلههایی نیز برای Sun Blade و سوییچها آمده است. اینها در Oracle Sun Systems Products Suite قرار دارند و از ۳۴ آسیبپذیری اصلاحشده، ۲۱ تای آن بدون تصدیق اصالت قابل اکسپلویت است.
همچنین وصلههایی برای PeopleSoft ,Siebel CRM ,JD Edwards منتشرشده و علاوه بر این، بنا به نوع کار شما، ممکن است به وصلههایی برای برنامههایی که هدف کارتان است نیاز داشته باشید مانند سرویسهای سلامتی، بیمه، مالی، رفاهی، خردهفروشی و غیره. بیشتر آسیبپذیریها در این دسته، وب سرورها میگیرند و HTTP بهعنوان پروتکل اصلی حمله شناخته میشود.
منبع:
ثبت ديدگاه