Июльские патчи Oracle устранили более 300 угроз

Июльские патчи Oracle устранили более 300 угроз

Корпорация Oracle выпустила очередной пакет обновлений безопасности (Critical Patch Update, CPU), закрыв в своих продуктах 319 уязвимостей. Свыше 50 багов получили высшую оценку угрозы, набрав 9,8 балла по шкале CVSS.

Больше всего заплаток пришлось на приложения Oracle Financial Services — разработчики устранили в этих программах 60 багов, включая 12 критических. Отмечается, что 50 уязвимостей можно было использовать удаленно и без авторизации.

На втором месте по количеству патчей оказалась система управления базами данных MySQL, где было закрыто 45 дыр. За ней следует платформа Fusion Middleware с 33 уязвимостями.

Среди наиболее опасных багов специалисты называют CVE-2019-2828 с оценкой в 9,6 балла. Эта уязвимость содержится в решении Oracle Field Service из комплекта E-Business Suite (EBS) и позволяет злоумышленникам подделывать серверные запросы (server-side request forgery), подаваемые через Java-интерфейс.

Как поясняют эксперты, небезопасный сервлет отвечает за доставку содержимого веб-страниц. Злоумышленник может отправить системе запрос со своего сервера и спровоцировать критическую ошибку. Другая, более опасная возможность открывается при использовании вредоносных Java-апплетов — в этом случае атака, по словам исследователей, будет похожа на XSS. Уязвимый EBS-сервер будет при этом работать как прокси, но для браузеров и Java-приложений он является доверенным источником, и потому сторонний код будет выполнен без дополнительных проверок.

Эксперты также обращают внимание на баги в модуле EBS Payments, которые можно использовать для компрометации пластиковых карт и банковских счетов. Этот компонент обеспечивает централизованный процессинг платежей, поэтому уязвимости Payments открывают взломщикам доступ ко всем финансовым потокам целевой организации.

Июльские патчи закрывают в этом модуле четыре бага — два умеренно опасных и два критических. Как поясняют специалисты, эти дыры можно использовать для выполнения стороннего кода на стороне сервера или клиента, а также вызова критических сбоев. Учитывая важность данного модуля для финансовой безопасности организации, ее контрагентов и клиентов, эксперты призывают не преуменьшать угрозу уязвимостей с более низкой оценкой и устанавливать все патчи сразу.

Разработчики также выпустили дополнительные патчи к активно используемым уязвимостям Oracle WebLogic Server — CVE-2019-2725 и CVE-2019-2729. В комментарии уточняется, что новые исправления дополняют функциональность ранее опубликованных заплаток и обязательны к установке на всех соответствующих системах.

Источник: //threatpost.ru/oracle-july-patches-address-319-vulnerabilities/33530/

Оставить комментарий

Оставить коментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *