Истина где-то ниже
Октябрь 22, 2018

Октябрьские обновления Oracle закрыли 301 брешь

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Компания Oracle выпустила очередной набор патчей, устраняющих более 300 уязвимостей в разных продуктах. Степень опасности 45 брешей оценена в 9,8 балла по шкале CVSS 3.0, одна получила оценку 10 из 10 возможных.

Уязвимости затрагивают широкий спектр продуктов, в том числе Oracle Database Server, Oracle Big Data Graph, Oracle Communications Applications, Oracle Construction and Engineering Suite и Oracle E-Business Suite.

Наиболее серьезна брешь в компоненте Monitoring Manager решения Oracle GoldenGate (CVE-2018-2913), которое обеспечивает репликацию данных в гетерогенных средах. Согласно официальному описанию, эта легко эксплуатируемая уязвимость позволяет без аутентификации захватить контроль над системой при наличии сетевого доступа по протоколу TCP. Обнаружил ее исследователь Джейкоб Бейнс (Jacob Baines) из Tenable.

«Уязвимость CVE-2018-2913 в менеджере GoldenGate представляет собой переполнение буфера в стеке, — пояснил эксперт для Threatpost. — Менеджер принимает команды с интерфейса GoldenGate (GGSCI) на порту 7809. В Tenable обнаружили, что инициировать переполнение буфера стека можно удаленно и без аутентификации, подав команду GGSCI, длина которой больше ожидаемой».

Подобная атака не только грозит угоном GoldenGate, но может также серьезно навредить другим продуктам. Уязвимости, получившей 10 баллов по CVSS, подвержены сборки 12.1.2.1.0, 12.2.0.2.0 и 12.3.0.1.0. На платформах Linux и Windows степень угрозы несколько ниже (9 баллов) — из-за более сложного доступа.

Две другие бреши, закрытые в GoldenGate (CVE-2018-2912 и CVE-2018-2914), тоже можно эксплуатировать удаленно и без аутентификации, но они менее опасны и оценены в 7,5 балла.

Уязвимости, получившие 9,8 балла, были найдены в бизнес-приложениях Oracle Retail, платформе Oracle Fusion Middleware, приложениях Oracle Insurance, Oracle Communications и Oracle JD Edwards, а также в MySQL, комплекте программных средств Oracle Construction and Engineering и инструменте управления Oracle Enterprise Manager.

 Октябрьский набор патчей от Oracle оказался скромнее предыдущего — в июле компания суммарно залатала 334 бреши в своих продуктах.

Источник: https://threatpost.ru/oracle-fixes-301-flaws-in-october-critical-patch-update/28807/