Oracle已发布另一个大量修补程序,修复了用于存储和使用关键业务数据的企业产品中的许多关键漏洞。
大约40%的修补缺陷位于Oracle E-Business Suite,Oracle Fusion中间件,Oracle PeopleSoft,Oracle零售应用程序,Oracle JD Edwards,Oracle供应链产品和Oracle数据库服务器。许多这些缺陷可以远程利用而不进行身份验证以损害受影响的组件。
总共Oracle的10月Compriss Patch更新(CPU)包含数百个产品的253个安全修复程序,包括数据库服务器,网络组件,操作系统,应用程序服务器和ERP系统。
在数据库中,在Oracle数据库服务器中的MySQL和12中修补了31个缺陷。
“数据库通常不会暴露在互联网上,但管理员应该计划修补CVE-2016-6304,CVE-2016-5598和CVE-2010-5312,因为它们是远程可利用的,攻击者可以在损害另一个系统后使用它们网络,“安全供应商Qualys的漏洞实验室主任Amol Sarwate表示,在博客文章中。
在Oracle E-Business Suite,该公司的主要业务软件捆绑包装了另外21个缺陷。可以在没有身份验证的情况下远程剥削这些漏洞的十四个。
由于Oracle E-Business Suite管理“广泛的业务流程并存储关键数据,因此对Oracle EBS的成功攻击允许攻击者窃取和操作不同的业务关键信息,具体取决于组织中安装的模块,”安全公司的研究人员erpscan在分析斑块时表示。
Oracle HTTP Server是Oracle E-Business Suite的中心部分,受漏洞的影响,可能会提供未经身份验证的攻击者访问数据。基于使用Shodan搜索引擎的扫描,erpscan研究人员估计大约有15,000个Oracle HTTP服务器暴露于Internet。
在Oracle Fusion中间件中修补了大量缺陷,其中包括Oracle大数据发现,Oracle Web服务,Oracle WebLogic Server,Oracle GlassFish服务器,Oracle IPlanet Web服务器和Oracle在许多中使用的技术外第三方产品以操纵文件格式。这些漏洞的十九可以远程剥削,无需认证,其中五个是关键的,可能导致受影响的组件完全妥协。
Oracle PeopleSoft系列产品收到了11家安全修复,Oracle JD Edwards产品收到2和Oracle Siebel CRM,三个。许多缺陷也固定在甲骨文的行业特定应用中,例如金融服务,商业,零售,保险,酒店和健康科学。
在操作系统和虚拟化前面,在Solaris和其他太阳继承的产品中修复了16个漏洞,例如Sun ZFS存储设备。十三个缺陷也固定在VirtualBox,虚拟桌面基础架构和Sun Ray操作软件中。
可以在没有身份验证的情况下远程利用的七种漏洞也已在Java SE中修复,其中三个被评为至关重要。
总体而言,这是甲骨文释放的第二大CPU,几乎所有公司的产品都触及。所有Oracle CPU今年发布 - 他们被公布季度 - 已超过200个安全修复。将其与2015年和2014年的128年平均为161修复。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。