اوراکل 402 آسیب‌پذیری را وصله کرد

طبق گزارش سه‌ماهه شرکت اوراکل ۴۰۲ آسیب‌پذیری در محصولات این شرکت رفع شده‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت ‫اوراکل در گزارش سهماهه اخیر خود، ۴۰۲ مورد آسیب‌پذیری را رفع کرده است که بیش از نیمی از آنها بدون نیاز به احراز هویت و از راه دور قابل بهره‌برداری هستند. از این میان دو مورد از آسیب‌پذیری‌ها بر اساس استاندارد CVSS دارای بالاترین شدت اهمیت بوده و دارای امتیاز ۱۰ از ۱۰هستند.

در به‌روزرسانی اکتبر، آسیب‌پذیری‌های ۲۷ محصول اوراکل رفع شده ‌است که تعدادی از این محصولات مهم اوراکل که در معرض بیشترین آسیب‌پذیری‌ها قرار دارند، در جدول ۱ نمایش داده شده است. توصیه می‌‌شود مشتریان محصولات اوراکل با مراجعه به مستندات مربوط به اصلاحیه‌های موجود اقدام به رفع آسیب‌پذیری کنند.

شرکت اوراکل به‌صورت پیوسته در حال دریافت گزارش‌هایی مبنی بر تلاش برای بهره‌برداری از این آسیب‌پذیری‌ها بوده است که به‌روزرسانی آنها اخیرا ارائه شد. در برخی موارد، به دلیل عدم اعمال به‌روزرسانی‌ها از طرف کاربر، اکسپلوست موفقیت‌آمیز از این آسیب‌پذیری‌ها نیز گزارش ‌شده است. بنابراین به‌شدت توصیه می‌شود که مشتریان از نسخه به‌روز که پشتیبانی می‌شوند، استفاده کرده و به‌روزرسانی‌ها را هرچه سریع‌تر اعمال کند.

دو مورد از این آسیب‌پذیری‌ها که دارای شدت ۱۰ هستند، بسیار خطرناک‌اند. اولین آسیب‌پذیری با شناسه CVE-۲۰۲۰-۱۹۵۳ است که بدون نیاز به احراز هویت و تعامل با کاربر می‌تواند از راه دور بهره‌برداری شود. این آسیب‌پذیری در المان Self Service Analytics از محصول Oracle Healthcare Foundation قرار دارد و نسخه‌های ۷.۱.۱، ۷.۲.۱، ۷.۲.۰ و ۷.۳.۰ را تحت تاثیر قرار می‌دهد.

دومین آسیب‌پذیری با شناسه CVE-۲۰۲۰-۱۴۸۷۱ در ماژول Pluggable authentication module از محصول Oracle Solaris است. این آسیب‌پذیری بدون نیاز به احراز هویت و دخالت کاربر می‌تواند از راه دور اجرا شود و این حمله بر اساس معیارهای استاندار CVSS یک حمله با پیچیدگی کم (low-complexity) محسوب می‌شود و نسخه‌های ۱۰ و ۱۱ را تحت تأثیر قرار می‌دهد.

لازم است توجه شود که ۶۷ مورد از آسیب‌پذیری‌های رفع شده در به‌روز‌رسانی اخیر بر اساس CVSS امتیاز ۹.۸ را دارند.

برای حملاتی که مستلزم مجوز یا دسترسی به پکیج خاصی هستند، شرکت اوراکل توصیه می‌کند تا مجوزها و دسترسی کاربرانی که نیازی به این مجوزها ندارند، حذف گردد. این عمل به کاهش ریسک ناشی از حملات موفق کمک خواهد کرد. با این‌ حال این دو رویکرد ممکن است در عملکرد برنامه خللی ایجاد کند پس اوراکل این رویکردها را به ‌عنوان راه‌حل بلندمدت توصیه نمی‌کند.

توصیه می‌شود کاربران با توجه به خطرات ناشی از حملات به آسیب‌پذیری‌های رفع شده، هرچه سریع‌تر اقدام به رفع آسیب‌پذیری سه ماه اخیر کنند. به‌روزرسانی‌های سه‌ماهه قبلی در آوریل منجر به رفع ۴۰۵ مورد آسیب‌پذیری در خط تولید شرکت شده است. چندین آسیب‌پذیری out-of-band نیز به‌روزرسانی شده است؛ برای مثال در ژوئن شرکت اوراکل هشداری مبنی بر آسیب‌پذیری بحرانی اجرای کد از راه در WebLogic Server اعلام کرد که به‌صورت گسترده بهره‌برداری شده است.