کمیته رکن چهارم – در بهروزرسانی امنیتی اوراکل برای محصولات خود در آوریل سال ۲۰۱۸ میلادی نزدیک به ۲۵۴ آسیبپذیری وصله شده است که ۱۵۳ مورد از آنها در محصولات حیاتی تجاری وجود دارند. در این بهروزرسانی ۱۹ محصول از شرکت اوراکل بهروزرسانی دریافت کردهاند و بیشتر آسیبپذیریها از راه دور قابل بهرهبرداری هستند.
۴۲ مورد از این آسیبپذیریها در بهروزرسانیهای این ماه حیاتی محسوب میشوند و در سیستم نمرهدهی شدت آسیبپذیری، نمرهی ۹٫۸ از ۱۰ را دریافت کردهاند. محصولاتی که تحت تاثیر این آسیبپذیریهای حیاتی قرار گرفتهاند عبارتند از: Fusion Middleware، Financial Services، PeopleSoft، EBS و Retail Applications.
محصول Fusion Middleware تقریبا ۳۹ وصلهی امنیتی دریافت کرده و در بین دیگر محصولات رتبهی اول را در دریافت وصلههای امنیتی در ماه آوریل کسب کرده است. اوراکل در مشاورهنامهی خود توضیح داده است که یک سوم از این آسیبپذیریها از راه دور و بدون نیاز به احراز هویت قابل بهرهبرداری هستند.
در رتبهی بعدی دریافت وصلههای امنیتی، محصول Financial Services با ۳۶ وصلهی امنیتی قرار دارد که ۱۸ مورد از آنها از راه دور و بدون نیاز به احراز هویت قابل بهرهبرداری هستند. در ادامه نیز MySQL با ۳۳ آسیبپذیری که ۲ مورد از راه دور قابل بهرهبرداری هستند و Retail Applications با ۳۱ آسیبپذیری در رتبههای بعدی قرار دارند.
دیگر آسیبپذیریهایی که اوراکل وصله کرده به شرح زیر است:
•در Java SE تعداد ۱۴ آسیبپذیری که ۱۲ مورد از آنها از راه دور و بدون نیاز به احراز هویت قابل بهرهبرداری هستند.
•در محصول Sun Systems Products Suite تعداد ۱۴ آسیبپذیری که ۳ مورد از راه دور قابل بهرهبرداری هستند.
•در محصول Hospitality Applications تعداد ۱۳ آسیبپذیری (۴ مورد قابل بهرهبرداری از راه دور)
•در محصول Virtualization تعداد ۱۳ آسیبپذیری (۳ مورد قابل بهرهبرداری از راه دور)
•در محصول E-Business Suite تعداد ۱۲ آسیبپذیری (۱۱ مورد قابل بهرهبرداری از راه دور)
•در محصول PeopleSoft تعداد ۱۲ آسیبپذیری (۸ مورد قابل بهرهبرداری از راه دور)
•و در Enterprise Manager Products Suite تعداد ۱۰ آسیبپذیری (۸ مورد قابل بهرهبرداری از راه دور).
دیگر محصولاتی که تحت تاثیر قرار گرفتهاند عبارتند از:
•Communications Applications
•Supply Chain Products Suite
•Construction and Engineering Suite
•JD Edwards Products
•Siebel CRM
•Database Server
•Support Tools
•Utilities Applications
در مجموع ۱۵۳ مورد از آسیبپذیریهایی که در بهروزرسانی امنیتی ماه آوریل وصله شدهاند، محصولات حیاتی تجاری را تحت تاثیر قرار میدهند. پژوهشگران اعلام کردند تقریبا ۶۹ درصد از این آسیبپذیریها از راه دور و بدون نیاز به وارد کردن هیچگونه گواهینامهای قابل بهرهبرداری هستند. همچنین اعلام شده که اوراکل نزدیک به ۱۱۰ هزار مشتری از صنایع مختلف دارد که این مسأله لزوم نصب وصلهها را بیشتر میکند.
یکی از آسیبپذیریهای حیاتی که در بهروزرسانیهای اوراکل وصله شده دارای شناسهی CVE-۲۰۱۸-۷۴۸۹ است که در نمرهدهی CVSS امتیاز ۹٫۸ را دریافت کرده است. این آسیبپذیری به مهاجمی که احراز هویت نشده است و به شبکه دسترسی دارد، اجازه میدهد تا بهطور کامل مولفهی آسیبپذیر را از کار بیندازد.
این آسیبپذیری در محصول Financial Services Applications چندین مولفه از جمله Risk Measurement and Management، Hedge Management and IFRS Valuations و Analytical Applications Infrastructure را تحت تاثیر قرار داده است.
یکی دیگر از آسیبپذیریهای حیاتی دارای شناسهی CVE-۲۰۱۸-۲۶۲۸ است که مولفهی سرور WebLogic را که یکی از مولفههای محصول Fusion Middleware است، تحت تاثیر قرار داده است. این آسیبپذیری توسط نفوذگری که به شبکه دسترسی دارد و با استفاده از پروتکل انتقال T۳ قابل بهرهبرداری است.
آسیبپذیری حیاتی دیگر دارای شناسهی CVE-۲۰۱۷-۵۶۴۵ است که در محصول JD Edwards مولفهی JD Edwards World Security را تحت تاثیر قرار داده است. آسیبپذیری با شناسهی CVE-۲۰۱۷-۵۶۴۵ در محصول Retail Applications مولفهی Retail Order Management System را تحت تاثیر قرار داده است. اگر مهاجم بتواند با موفقیت از این آسیبپذیریها بهرهبرداری کند، خواهد توانست کنترل دستگاه آسیبپذیر را بهطور کامل در دست بگیرد.
منبع : news.asis.io
