Skip to Content

نمایشگر دسته ای مطالب نمایشگر دسته ای مطالب

بازگشت به صفحه کامل

آسیب پذیری از راه دور بدون احراز هویت

بیش از نیمی از این آسیب­پذیری ها می توانند از راه دور بدون احراز هویت قابل استفاده باشند. 40 مورد از این مسائل بسیار مهم محسوب می شدند و 25 مورد از آنها نمره CVSS ، ده داشتند.

برنامه­های سرویس­های مالی اوراکل تحت تاثیرترین محصول بود، اصلاحاتی برای 47 امکان آسیب­پذیری در این ماه  دریافت کردند که 19 تا از آنها با نمره CVSS ده بسیار مهم محسوب می شدند. بعلاوهAdvisory  اوراکل فاش کرد 25 مورد از این 47 قابلیت آسیب­پذیری بدون احراز هویت و از راه دور می توانستند قابل استفاده باشند.

آخرین CPU اوراکل که در این هفته منتشر شد قابلیت آسیب­پذیری در25 برنامه را مورد ملاحضه قرار داد: MySQL  و Retail Applications (هر یک 39 اصلاح)، Fusion Middleware (31)، Sun Systems Products Suite (21)، PeopleSoft (16)، Virtualization (15)، Berkeley DB (14)، Support Tools (13)، E-Business Suite (11)، Communications Applications (11)، Java SE (8)، Utilities Applications (7)، Primavera Products Suite (7)، Hospitality Applications (6)، Commerce (3)، Database Server (2)، Enterprise Manager Grid Control (2) و Secure Backup ،  Hyperion،  Supply Chain Products Suite ، JD Edwards Products ،  Siebel CRM ، Health Sciences Applications و Insurance Applications (هر یک1 اصلاح).

مهمترین مسائل مورد ملاحظه قرار گرفته مربوط به نقص اجرای راه دور کد در  Apache Struts 2 است که ماه گذشته پس از این که شخصی یک کد مخرب [1]PoC را منتشر کرد، مشخص شد در دنیای واقعی مورد استفاده قرار گرفته بود. همچنین محصولات Cisco و VMWare تحت تاثیر قرار گرفته بودند.

الکساندر پلیاکف مدیر ارشد فناوری در ERPScan  می گوید : جرایم رایانه­ای همیشه یک کسب و کار سودآور بوده اند. این روزها ، هکرها بیشتر روی سازمان ها متمرکزند تا افراد زیرا انها دریافته اند که سازمان ها سودآورتر هستند. در نظر بگیرید که محصولات اوراکل در بزرگترین سازمان ها نصب شده اند، این برنامه ها می توانند هدف نهایی باشند. خبر خوب این است که فروشندگان قبل از این که نفوذ در داده جدی رخ دهد توجهشان را به این ناحیه حیاتی جلب کرده اند. خبر بد این است که ادمین های اوراکل مدت طولانی روی نصب پتچ­های فراوان کار خواهند کرد.

اوراکل باگ­های مهمی را در Solaris از Oracle Sun Systems Products Suite ، MySQL Enterprise Monitor از Oracle MySQL (Struts 2) ، Oracle FLEXCUBE Private Banking از Oracle Financial Services Applications (Struts 2) ، Oracle Financial Services Asset Liability Management ازOracle Financial Services Applications (Struts 2) و Oracle Financial Services Data Integration Hub از Oracle Financial Services Applications (Struts 2) مورد توجه قرار داده است.

CPU جولای 2016 با 276 پتچ نخستین CPUیی بود که شامل بیش از 250 اصلاح بود، اما از آن زمان این روند هر فصل ادامه پیدا کرد با 250 نقص مورد توجه قرار داده شده در اکتبر 2016 و 270 نقص در ژانویه 2017.

همچنین انتظار می رود این روند در فصل پیش رو نیز ادامه پیدا کند. به هر حال چون این مساله با همه نرم افزار اتفاق می افتد، این به معنای این نیست که برنامه ها آسیب پذیرتر شده اند بلکه جامعه محققان در یافتن مسائل امنیتی بهتر شده اند.

 


[1] Proof of Concept