本周二甲骨文发布了7月份的重要补丁更新(CPU),此次关键补丁更新解决了334个安全漏洞(包括61个评级严重的漏洞),涵盖了大量甲骨文企业组合产品。

升级补丁的334个漏洞中,61个被评为严重,CVSS评级在9到10之间。甲骨文表示,它已发现部分漏洞仍在野外活动,所以应用更新应该是管理员最需要做的事情。

此次更新突破以往供应商CPU修复的历史最高水平,超过了2017年7月的(修复308个漏洞)记录。此前也曾有过大批量CPU修复:比如4月份修复了251个漏洞; 在此之前,1月份解决了233个漏洞。

甲骨文的业务关键型应用程序代表性很强,CPU中的大多数补丁都是为广泛部署的PeopleSoft企业资源规划平台、电子商务组件、MySQL数据库、Siebel CRM、Fusion中间件、JD Edwards产品等。然而,这些系统为任何公司提供最敏感的信息,包括财务信息,人力资源数据,垂直特定信息,如学生成绩、贷款或医疗保健PHI,以及业务流程和知识产权的战略运营数据。此次还发布了Java补丁 ,但只有8个,比去年7月份的同期数量下降了75%。

本次甲骨文的金融服务应用程序获得了大多数补丁(56),其次是Fusion中间件(44个),然后是零售应用程序和MySQL数据库(31个)。根据ERPScan 的分析,大约65%的缺陷可以在不输入凭据的情况下远程利用。在金融服务方面,56个漏洞中的21个可以允许攻击者远程访问系统,而无需输入用户凭据; 在Fusion中,44个漏洞中的38个也有这样的缺陷。

高亮Bug

就显着的漏洞而言,Fusion中最严重的漏洞之一允许远程用户通过甲骨文业务流程管理组件流程分析和发现组件(CVE-2018-3100)中的缺陷访问和修改数据; 另一个允许攻击者使用甲骨文融合中间件MapViewer Map Builder组件(CVE-2018-2943)的问题获得提升的权限。Fusion中的其他问题可能导致拒绝服务的情况。

PeopleSoft获得了15个补丁,其中两个获得了9.8的CVSS评分。鉴于应用程序组件支持如人力资源、财务、供应链管理、服务自动化等核心企业功能,这尤其引人注目。

ERPScan分析,“由于甲骨文管理各种业务流程并存储关键数据,因此对PeopleSoft的成功攻击允许攻击者窃取或操纵不同的业务关键信息,具体取决于组织中安装的模块。”

甲骨文电子商务组件中还存在多个缺陷,允许远程用户访问和修改目标系统上的数据:共有14个补丁,最高CVSS分数为8.2。其中一个问题还允许本地用户利用Oracle订单管理产品诊断工具组件中的缺陷来升级权限(CVE-2018-2954)。

在Java前端,CPU包含八个针对Oracle Java SE的新安全修复程序。所有漏洞无需身份验证即可远程利用; 它们存在于Java SE版本6u191,7u181,8u172和10.0.1中,最高CVSS分数为9。

“从表面上看,Java SE补丁的下降趋势似乎是好的,但是,它实际上更多地反映了Java SE 9和10的采用率,因为Java社区继续依赖旧版本的Java。由于采用率较低,因此只有少数用户可以报告最新版本的Java中的bug。” Waratek执行副总裁兼全球首席营销官James Lee表示。

其他严重缺陷包括Oracle中间件(CVSS 9.8)中的权限提升错误以及JD Edwards TETaskProperties maflet(CVSS 9.1)中的跨脚本漏洞,可用于劫持管理员的会话数据。这些位于ERPScan向甲骨文报告的17个严重漏洞之列。

但ERPScan表示,由于他们被作为美国财政部批准的俄罗斯实体的地位而未在该通报中记入。“不幸的是,甲骨文决定驳回ERPScan的贡献,并且由于ERPScan被列入财政部制裁名单,因此没有给予信任,正如我们所看到的那样,财政部的制裁只能阻止金融交易,也不会禁止非金融关系。这意味着,如果研究团队只向供应商发送有关漏洞的信息,那么没有什么能阻止该公司给予他们信用。尽管如此,制裁总是引起关注,对任何人来说情况都不是很乐观。”

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。