SOS :: Security Operation Space
19 марта, вторник, 00:00
|
Hot News:

Октябрьские обновления от Oracle закрыли 301 брешь

19 октября 2018 г., пятница, 05:59

Степень опасности 45 брешей оценена в 9,8 балла по шкале CVSS, одна получила оценку 10 из 10 возможных.

Компания Oracle выпустила очередной набор патчей, устраняющих более 300 уязвимостей в разных продуктах. Степень опасности 45 брешей оценена в 9,8 балла по шкале CVSS 3.0, одна получила оценку 10 из десяти возможных.

Уязвимости затрагивают широкий спектр продуктов, в том числе Oracle Database Server, Oracle Big Data Graph, Oracle Communications Applications, Oracle Construction and Engineering Suite и Oracle E-Business Suite.

Наиболее серьезна брешь в компоненте Monitoring Manager решения Oracle GoldenGate (CVE-2018-2913), которое обеспечивает репликацию данных в гетерогенных средах. Согласно официальному описанию, эта легко эксплуатируемая уязвимость позволяет без аутентификации захватить контроль над системой при наличии сетевого доступа по протоколу TCP. Обнаружил ее исследователь Джейкоб Бейнс (Jacob Baines) из Tenable.

«Уязвимость CVE-2018-2913 в менеджере GoldenGate представляет собой переполнение буфера в стеке, — пояснил эксперт для Threatpost. — Менеджер принимает команды с интерфейса GoldenGate (GGSCI) на порту 7809. В Tenable обнаружили, что инициировать переполнение буфера стека можно удаленно и без аутентификации, подав команду GGSCI, длина которой больше ожидаемой».

Подобная атака не только грозит угоном GoldenGate, но может также серьезно навредить другим продуктам. Уязвимости, получившей 10 баллов по CVSS, подвержены сборки 12.1.2.1.0, 12.2.0.2.0 и 12.3.0.1.0. На платформах Linux и Windows степень угрозы несколько ниже (9 баллов) — из-за более сложного доступа.

Две другие бреши, закрытые в GoldenGate (CVE-2018-2912 и CVE-2018-2914), тоже можно эксплуатировать удаленно и без аутентификации, но они менее опасны и оценены в 7,5 балла.

Высоко опасные уязвимости (9,8 балла) были найдены в бизнес-приложениях Oracle Retail, платформе Oracle Fusion Middleware, приложениях Oracle Insurance, Oracle Communications и Oracle JD Edwards, а также в MySQL, комплекте программных средств Oracle Construction and Engineering и инструменте управления Oracle Enterprise Manager.

 Октябрьский набор патчей от Oracle оказался скромнее предыдущего — в июле компания суммарно залатала 334 бреши в своих продуктах.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.080
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.