Интеллигентный торрент-трекер
canvas not supported
Нас вместе: 4 307 125

Первый в году апдейт от Oracle закрыл 270 брешей


 
 
RSS
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Поговорим -> Новости
Автор Сообщение
vaselisk96 ®
Модератор Музыки
RG Music
Реставратор
 
Стаж: 3 года 6 мес.
Сообщений: 1670
Ratio: 22,919
Раздал: 2,47 TB
Поблагодарили: 16500
100%
nnm-club.gif

Во вторник 17 января Oracle выпустила патчи для 270 уязвимостей в 45 различных продуктах, в том числе для E-Business Suite, Financial Services и MySQL. Многие из этих брешей, закрываемых в рамках первого в новом году квартального обновления, допускают удаленный эксплойт.

По объему январский набор патчей от Oracle немного недотянул до рекордного уровня, зафиксированного в июле, — в том месяце разработчик залатал 276 брешей.

Согласно Oracle, около 40% ныне закрываемых уязвимостей эксплуатируются удаленно и без аутентификации. Наибольшее количество таких багов устранено в пакете приложений E-Business Suite (EBS) — 118; Java SE и Fusion Middleware получили по 16 аналогичных патчей.

В EBS совокупно закрыта 121 брешь; по свидетельству экспертов ERPScan, уделяющих особое внимание безопасности продукции Oracle и SAP, это рекордное количество для любого ПО разработки Oracle. Согласно матрице рисков для EBS, в случае эксплойта многие из новых уязвимостей влекут кражу критически важных для бизнеса данных или позволяют манипулировать ими.

Самой серьезной уязвимостью в рамках январского выпуска является CVE-2017-3324 в Primavera Products Suite, облачной платформе Oracle для управления проектами; эта брешь оценена в 10,0 балла по шкале CVSS. Эксплуатация CVE-2017-3324 проста и открывает возможность для несанкционированного создания, удаления или модификации ключевых бизнес-данных, а также для проведения атаки на отказ в обслуживании. Данная проблема актуальна для Primavera версий 8.2, 8.3, 8.4, 15.1, 15.2, 16.1 и 16.2.

«Легко эксплуатируемая уязвимость позволяет неаутентифицированному злоумышленнику, обладающему HTTP-доступом к сети, скомпрометировать Primavera P6 Enterprise Project Portfolio Management, — сказано в матрице рисков для этого продукта. — Уязвимость присутствует в Primavera P6 Enterprise Project Portfolio Management, но атаки могут в значительной мере повлиять на дополнительные продукты».

Восемнадцать уязвимостей оценены по CVSS в 9,0 балла и выше (помимо CVE-2017-3324). При расстановке приоритетов их следует патчить в первую очередь, особенно бреши в Enterprise Manager Grid Control, Fusion Middleware и Java SE.

Два бага из январского бюллетеня устранены благодаря бдительности ERPScan; это XSS в Peoplesoft, позволяющий перехватить данные сессии администратора с помощью особого HTTP-запроса, и DoS в OpenJDK. Многие уязвимости обнаружили исследователи из Onapsis — совокупно 102; как указал в блоге ИБ-эксперт компании Матиас Мевиэд (Matias Mevied), все эти бреши относятся к классу XSS. Детали он не сообщил, отметил лишь, что некоторые уязвимости допускают эксплойт с помощью простейшего параметра, другие — с использованием нескольких, более сложных параметров.

Помимо ERPScan и Onapsis Research Labs свой вклад в январский выпуск Oracle внесли Cisco Talos, Tenable Network Security, Red Hat Product Security, Дэниел Блайхенбахер (Daniel Bleichenbacher) из Google и Дэвид Личфилд (David Litchfield), некогда тоже работавший в Google.

Новый выпуск от Oracle задает высокие темпы выпуска патчей, количество которых за квартал может к концу года превысить прежний среднестатистический уровень. В 2015 году компания в среднем латала 153 уязвимости, в 2016-м — уже 227.

Источник: threatpost.ru

_________________
Начинающий модератор. Все положительные и отрицательные отзывы по его работе просьба писать его наставнику gvm55
В любой важной проблеме имеются аспекты, которые никто не хочет обсуждать. — Джордж Оруэлл
Показать сообщения:   
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Поговорим -> Новости Часовой пояс: GMT + 3
Страница 1 из 1