Oracle CPU Tháng 10 năm 2018: 301 lỗ hổng đã được vá lỗi

Oracle đã phát hành bản vá lỗi quan trọng cho tháng 10 năm 2018, sửa chữa tổng cộng 301 lỗi.  Giám đốc đảm bảo an ninh phần mềm của Oracle - Eric Maurice đã lưu ý: “Như những bản phát hành cập nhật quan trọng trước đây, một tỷ lệ đáng kể các bản vá lỗi dành cho các thành phần của bên thứ ba (non - Oracle CVE, bao gồm các thành phần nguồn mở).

CPU này là CPU cuối cùng được lên lịch vào năm 2018 và mang lại tổng số lỗ hổng được vá trong năm 2018 đến con số 1119.

Bản cập nhật cho Oracle Fusion Middleware, kết hợp một số sản phẩm phần mềm Oracle và mở rộng nhiều dịch vụ, dự kiến ​​mang số lượng bản vá lớn nhất: 65.

56 trong số 65 lỗ hổng này có thể được khai thác từ xa mà không cần xác thực, tức là, có thể được khai thác qua mạng mà không cần yêu cầu xác thực thông tin người dùng.

Đi theo số lỗ hổng vá lỗi, Fusion Middleware được theo sau bởi Oracle MySQL (38), Oracle Retail Applications (31), và Oracle PeopleSoft (24). Các lỗ hổng được phân bố trên một loạt các sản phẩm của Oracle, bao gồm Oracle Database Server, Oracle E-Business Suite, Oracle Java SE và các sản phẩm khác

Các bản vá lỗi được ưu tiên

Oracle thường phát hành Ma trận rủi ro (Risk Matrices) cho mỗi lỗ hổng được vá để giúp quản trị viên ưu tiên các bản vá lỗi.

45 lỗ hổng được vá trong tháng này mang theo hệ thống CVSS (Common Vulnerability Scoring System - Hệ thống chấm điểm dễ bị tổn thương thông thường), được chấm điểm 9,8 và có thể dễ dàng bị khai thác bởi những kẻ tấn công từ xa, có kỹ năng kém và không được thẩm định qua mạng.

Một lỗ hổng - CVE-2018-2913 ảnh hưởng đến Oracle GoldenGate, một gói phần mềm để tích hợp dữ liệu thời gian thực và nhân bản trong môi trường IT không đồng nhất - thậm chí đã nhận được điểm CVSS tối đa là 10,0 (đối với các nền tảng không phải Windows và Linux).

Nó ảnh hưởng đến các phiên bản 12.1.2.1.0, 12.2.0.2.0 và 12.3.0.1.0, và cho phép kẻ tấn công không nhận được quyền truy cập, truy cập mạng qua TCP để tấn công phần mềm.

Waratek lưu ý rằng CPU này bao gồm bản vá đầu tiên cho Java 11.

Công ty cảnh báo: “Java 8 được thiết lập cho sự hỗ trợ cuối cùng vào tháng 1 năm 2019, nhưng phần lớn các bản vá lỗi trong quý 4 và các bản cập nhật trước đã giải quyết các lỗi trong Java 8 và các phiên bản Java trước đó. Trong thực tế, CPU này bao gồm các bản sửa lỗi cho CVE có niên đại bốn năm”.

“Chỉ một số CVE tương đối liên quan đến Java 9, 10 và bây giờ 11, đã được phát hành kể từ khi phát hành Java 9 vào tháng 7 năm 2017. Tuy nhiên, nhiều nhà nghiên cứu tiếp tục báo cáo rằng phần lớn các ứng dụng doanh nghiệp mới vẫn tiếp tục được viết Java 8”.

Oracle, như thường lệ, khuyên khách hàng nên duy trì các phiên bản được hỗ trợ tích cực và áp dụng các bản sửa lỗi vá lỗi quan trọng mà không bị trì hoãn.

Công ty lưu ý: “Oracle tiếp tục định kỳ nhận được các báo cáo về các nỗ lực khai thác độc hại các lỗ hổng mà Oracle đã phát hành bản sửa lỗi. Trong một số trường hợp, Oracle đã được báo cáo rằng kẻ tấn công đã thành công bởi vì khách hàng mục tiêu đã không áp dụng các bản vá lỗi Oracle có sẵn”.