Во вторник 17 января Oracle выпустила патчи для 270 уязвимостей в 45 различных продуктах, в том числе для E-Business Suite, Financial Services и MySQL. Многие из этих брешей, закрываемых в рамках первого в новом году квартального обновления, допускают удаленный эксплойт.
По объему январский набор патчей от Oracle немного недотянул до рекордного уровня, зафиксированного в июле, — в том месяце разработчик залатал 276 брешей.
Согласно Oracle, около 40% ныне закрываемых уязвимостей эксплуатируются удаленно и без аутентификации. Наибольшее количество таких багов устранено в пакете приложений E-Business Suite (EBS) — 118; Java SE и Fusion Middleware получили по 16 аналогичных патчей.
В EBS совокупно закрыта 121 брешь; по свидетельству экспертов ERPScan, уделяющих особое внимание безопасности продукции Oracle и SAP, это рекордное количество для любого ПО разработки Oracle. Согласно матрице рисков для EBS, в случае эксплойта многие из новых уязвимостей влекут кражу критически важных для бизнеса данных или позволяют манипулировать ими.
Самой серьезной уязвимостью в рамках январского выпуска является CVE-2017-3324 в Primavera Products Suite, облачной платформе Oracle для управления проектами; эта брешь оценена в 10,0 балла по шкале CVSS. Эксплуатация CVE-2017-3324 проста и открывает возможность для несанкционированного создания, удаления или модификации ключевых бизнес-данных, а также для проведения атаки на отказ в обслуживании. Данная проблема актуальна для Primavera версий 8.2, 8.3, 8.4, 15.1, 15.2, 16.1 и 16.2.
«Легко эксплуатируемая уязвимость позволяет неаутентифицированному злоумышленнику, обладающему HTTP-доступом к сети, скомпрометировать Primavera P6 Enterprise Project Portfolio Management, — сказано в матрице рисков для этого продукта. — Уязвимость присутствует в Primavera P6 Enterprise Project Portfolio Management, но атаки могут в значительной мере повлиять на дополнительные продукты».
Восемнадцать уязвимостей оценены по CVSS в 9,0 балла и выше (помимо CVE-2017-3324). При расстановке приоритетов их следует патчить в первую очередь, особенно бреши в Enterprise Manager Grid Control, Fusion Middleware и Java SE.
Два бага из январского бюллетеня устранены благодаря бдительности ERPScan; это XSS в Peoplesoft, позволяющий перехватить данные сессии администратора с помощью особого HTTP-запроса, и DoS в OpenJDK. Многие уязвимости обнаружили исследователи из Onapsis — совокупно 102; как указал в блоге ИБ-эксперт компании Матиас Мевиэд (Matias Mevied), все эти бреши относятся к классу XSS. Детали он не сообщил, отметил лишь, что некоторые уязвимости допускают эксплойт с помощью простейшего параметра, другие — с использованием нескольких, более сложных параметров.
Помимо ERPScan и Onapsis Research Labs свой вклад в январский выпуск Oracle внесли Cisco Talos, Tenable Network Security, Red Hat Product Security, Дэниел Блайхенбахер (Daniel Bleichenbacher) из Google и Дэвид Личфилд (David Litchfield), некогда тоже работавший в Google.
Новый выпуск от Oracle задает высокие темпы выпуска патчей, количество которых за квартал может к концу года превысить прежний среднестатистический уровень. В 2015 году компания в среднем латала 153 уязвимости, в 2016-м — уже 227.Источник: threatpost.ru |
_________________ Не можешь скачать мой релиз? Пиши в ЛС.
|