اوراکل وصله‌هایی را برای آسیب‌پذیری آپاچی Struts منتشر می‌کند

کمیته رکن چهارم – اوراکل وصله‌هایی را برای بسیاری از محصولات خود به‌منظور رفع چندین آسیب‌پذیری در چارچوب آپاچی Struts۲ منتشر کرده است، یکی از این آسیب‌پذیری‌ها در طول چند هفته‌ی گذشته مورد بهره‌برداری قرار گرفته است. این آسیب‌پذیری فعال، CVE-۲۰۱۷-۹۸۰۵، یک کد اثبات مفهومی است که در عرض چند ساعت پس از یک وصله‌ی منتشرشده توسط توسعه‌دهندگان آپاچی Struts در تاریخ ۵ سپتامبر، انتشار یافت. کمی بعد، چندین شرکت امنیتی مشاهده‌ی حملاتی را گزارش دادند.

این آسیب‌پذیری که از روشی که Struts داده‌های غیرقابل اعتماد را دی‌سریالایز می‌کند، ناشی می‌شود، اجازه‌ی اجرای کد از راه دور را داده و بر برنامه‌هایی که از افزونه‌ی REST با راه‌انداز XStream و ظرفیت XML استفاده می‌کنند، تاثیر می‌گذارد. یک فهرست طولانی از محصولات اوراکل وجود دارد که از آپاچی Struts استفاده کرده و به‌دلیل آسیب‌پذیری‌های موجود در چارچوب توسعه‌ی متن‌باز، در معرض حمله قرار دارند. این فهرست شامل نظارت بر تشکیلات اقتصادی MySQL، مدیریت سیاست ارتباطات، بانکداری خصوصیFLEXCUBE ،Retail XBRi ، Siebel، کارگزار وِب‌لوگیک و خدمات مختلف مالی و حق بیمه است.

تنها آسیب‌پذیری مورد بهره‌برداری قرار گرفته در محصولات اوراکل، آپاچی Struts نیست. در آخرین به‌روزرسانی‌های این شرکت، چندین آسیب‌پذیری  Struts دیگر که اخیرا توسط بنیاد نرم‌افزاری آپاچی منتشر شده، نیز رفع شده است، از جمله CVE-۲۰۱۷-۷۶۷۲ ،CVE-۲۰۱۷-۹۷۸۷ ،CVE-۲۰۱۷-۹۷۹۱ ،CVE-۲۰۱۷-۹۷۹۳ ،CVE-۲۰۱۷-۹۸۰۴ و CVE-۲۰۱۷-۱۲۶۱۱. اریک موریس، مدیر تضمین امنیت در اوراکل در یک پست وبلاگ نوشت: «اوراکل به‌شدت توصیه می‌کند که مشتریان در اسرع وقت، اصلاحات موجود در این هشدار امنیتی را اعمال کنند.» US-CERT نیز به کاربران توصیه کرده است که هشدارهای امنیتی اوراکل را بازبینی کرده و به‌روزرسانی‌های لازم را اعمال کنند.

اوراکل این واقعیت را برجسته کرد که آسیب‌پذیری آپاچی Struts با شناسه‌ی CVE-۲۰۱۷-۵۶۳۸ که برای نقض سامانه‌های آژانس گزارش گواهی‌نامه‌های آمریکا، اِکیوفاکس، مورد بهره‌برداری قرار گرفته است، چند ماه پیش با انتشار به‌روزرسانی وصله‌های مهم (CPU) ماه آپریل ۲۰۱۷ میلادی، در محصولات آن وصله شده بود. این شرکت همچنین به مشتریان توصیه کرده است که وصله‌های منتشر شده در آخرین CPU در ماه ژوئیه را نصب کرده و دور بعدی وصله‌ها که برای ۱۷ اکتبر برنامه‌ریزی شده است، را نیز مرور کنند.

منبع : news.asis.io

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.