Bản vá lỗi của Oracle trong tháng 7 xử lí 334 lỗ hổng bảo mật trong phần lớn các sản phẩm kinh doanh của doanh nghiệp này.
Bản vá lỗi quan trọng của Oracle (Critical Patch Update/CPU) trong tháng 7 đã được phát hành nhằm giải quyết 334 lỗ hổng bảo mật. Trong số đó, 61 lỗ hổng được đánh giá là quan trọng, với đánh giá CVSS từ 9 đến 10. Oracle thông báo trong tài liệu tư vấn rằng công ty này đã để ý thấy một số lỗi bảo mật xuất hiện, vì vậy cập nhật bản vá lỗi này là việc quan trọng các quản trị viên cần làm. Bản vá lỗi của Oracle lần này đánh dấu mức sửa lỗi CPU cao nhất mọi thời đại, vượt qua kỷ lục trước đó là 308 lỗi vào tháng 7 năm 2017. Tuy nhiên số lượng lỗi nhiều không phải điều lạ vì trước đó vào tháng 4, Oracle đã sửa 251 lỗ hổng; và trước đó, vào tháng 1 là 233 lỗ hổng.
Chi tiết bản vá
Các ứng dụng kinh doanh của Oracle bị ảnh hưởng nặng nề. Hầu hết bản vá CPU đều sửa lỗi các sản phẩm: nền tảng hoạch định nguồn lực doanh nghiệp PeopleSoft, E-Business Suite, cơ sở dữ liệu MySQL, Siebel CRM, middleware Fusion, JD Edwards v,v. Các hệ thống này chứa các thông tin nhạy cảm nhất của nhiều công ty, bao gồm cả thông tin tài chính, dữ liệu nhân sự, thông tin dọc cụ thể như điểm của sinh viên, các khoản vay hoặc thông tin chăm sóc sức khỏe PHI, cộng với dữ liệu hoạt động chiến lược về quy trình kinh doanh và sở hữu trí tuệ. Bản vá lỗi Java cũng được phát hành – nhưng chỉ có 8 bản, giảm 75% so với số bản của CPU tháng 7 năm ngoái. Lỗi các ứng dụng dịch vụ tài chính xuất hiện nhiều trong bản vá lỗi của Oracle lần này(56), tiếp theo là Fusion Middleware (44), và sau đó các ứng dụng bán lẻ và cơ sở dữ liệu MySQL (31). Theo một phân tích hôm nay từ ERPScan, khoảng 65% các lỗ hổng có thể bị khai thác từ xa mà không cần nhập thông tin. Về mặt dịch vụ tài chính, 21 trong số 56 lỗi có thể cho phép tin tặc truy cập vào hệ thống từ xa, không cần phải nhập thông tin người dùng; trong Fusion, 38 trong số 44 lỗi sẽ cho phép điều này.
Các lỗi nổi bật
Một trong những lỗi nghiêm trọng nhất là lỗi trong Fusion cho phép người dùng truy cập từ xa và sửa đổi dữ liệu thông qua một lỗ hổng trong Oracle Business Process Management Suite Process Analysis & Discovery (CVE-2018-3100); một lỗi khác cho phép các nguồn xấu có quyền nâng cao thông qua lỗi trong Oracle Fusion Middleware MapViewer Map Builder component (CVE-2018-2943). Các vấn đề khác trong Fusion có thể gây ra các yếu tố khiến phần mềm dừng phục vụ. Trong bản vá lỗi của Oracle tháng 7 này, PeopleSoft nhận được 15 bản vá, với hai bản được đánh giá tận 9,8 điểm CVSS. Đáng quan tâm là vì bộ ứng dụng này hỗ trợ các chức năng doanh nghiệp cốt lõi như nhân sự, tài chính, quản lý chuỗi cung ứng, dịch vụ tự động hóa v,v.
Trong bài phân tích ERPScan có viết: “Vì PeopleSoft quản lý một loạt các quy trình kinh doanh và lưu trữ dữ liệu quan trọng, nên kẻ tấn công có thể cướp hoặc thao túng các thông tin kinh doanh quan trọng, tùy thuộc vào các module được cài đặt.”
Về Java, bản vá lỗi của Oracle lần này sửa 8 lỗi bảo mật mới cho Oracle Java SE. Tất cả các lỗ hổng được khai thác từ xa mà không cần chứng thực; chúng tồn tại trong Java SE phiên bản 6u191, 7u181, 8u172, và 10.0.1, với số điểm CVSS cao nhất sắp đạt 9 điểm.
James Lee – phó chủ tịch điều hành và CMO toàn cầu của Waratek viết trong một bài viết: “Nhìn chung, số bản vá lỗi Java SE giảm xuống là một xu hướng tích cực”, “Tuy nhiên, có thể là do ít người dùng Java bản mới SE 9 và 10 nên có ít báo lỗi hơn.”
Các lỗi nghiêm trọng khác bao gồm một lỗi leo thang đặc quyền trong Oracle middleware (CVSS 9,8) và một lỗ hổng cross-scripting trong JD Edwards TETaskProperties maflet (CVSS 9.1) có thể bị lợi dụng để chiếm quyền điều khiển dữ liệu phiên của quản trị viên. Đây là một trong 17 lỗ hổng nghiêm trọng nhất được báo cáo với Oracle bởi ERPScan.
TP