اوراکل پنج دسته وصله صادر کرده که در مجموع ۱۲۸ اصلاحیه را برای
آسیب پذیری امنیتی موجود در صدها نرمافزار این شرکت به همراه داشته است.
میتوان گفت این مشکلات امنیتی در عمدهی محصولات اوراکل دیده شدهاند.
به گزارش سافتگذر به نقل از فن آوری اطلاعات ایران، از ۴۲ آسیب پذیری امنیتی که در این وصله برطرف شده، ۳۹ مورد از راه
دور و بدون احراز هویت قابل استفاده بودند. مؤلفههای آسیبدیده شامل
Oracle HTTP Server ،Jrockit ،WebCenter و WebLogic میباشد.
هر کدام از آنها دستِ کم یک نصب drive-by1 محسوب میشوند و در نتیجهی
آنها بدافزار بهطور مستقیم به مرورگر کاربر تحویل داده شده و بدون نمایش
پیام هشدار و یا حتی علامت قابل مشاهدهای شروع به اجرا میکند.
گفتنی است دو محصول اصلی اوراکل یعنی Database Server و Fusion
Middleware، دارای آسیب پذیریهایی هستند که حداکثر نمرهی امنیتی ۱۰٫۰۰۰
(هشدار قهوهای) را به خود اختصاص دادهاند. بد نیست بدانید که ۲۹ اصلاحیه
متعلق به Fusion Middleware میباشد که ۲۲ مورد از این تعداد مربوط به
جلوگیری از حملاتی بوده که بدون نیاز به احراز هویت کاربر صورت میگیرند.
Oracle E-Business Suite، Oracle Supply Chain Products Suite و Oracle
PeopleSoft Products به ترتیب حائز سه، شش و یازده اصلاحیهی امنیتی
شدهاند.
دهها اصلاحیهی مختلف مربوط به محصولاتی با نشان تجاری Sun و نرمافزار
مالی اوراکل پس از ارائهی باقی وصلهها و به همراه کانال انتشار
بهروزرسانی معمول اوراکل در دسترس عموم قرار گرفته است.
بهروزرسانی وصلهی «حیاتی» شامل اصلاحیههای امنیتی بیشتری نسبت به
وصلهی ماه ژانویه بوده و به عبارت دقیقتر دارای ۸۶ وصله را ارائه کرده
است. ماهیت تأثیرگذاری بالای این بهروزرسانیها حاکی از آن است که در
اولین فرصت میبایست محصولات آسیب پذیر را به واسطهی آنها ترمیم نمود.
در حقیقت وصلهی حیاتی جاوا نیز در آوریل ۲۰۱۳ برای جاوا حاوی ۱۹ CVE با
نمرهی ۱۰(بالاترین نمره) است که نشان از سوءاستفادهی زیاد از این
آسیب پذیریها دارد که میتواند کنترل کامل رایانه را به دست مهاجمان
بسپارد.
از مجموع کل وصلههای ارائهشده ۴۲ مورد برای افزایههای۲ وب جاوا صادر
شدهاند، از میان آسیب پذیریهای مربوط به این وصلهها تنها سه مورد از
راه دور قابل بهرهبرداری نبودهاند، این بدان معناست که نرمافزار درون
شبکه بدون نیاز به هرگونه شناسه یا گذرواژهای قابل حمله میباشد.
اوراکل از سامانهی «Common Vulnerability Scoring System» برای
رتبهبندی آسیب پذیریهای گزارش شده استفاده میکند. این رتبهبندی شدت
تهدید را منعکس میسازد و بیان میکند که تهدید مربوطه در محیط نرمافزاری
چگونه عمل خواهد کرد.
در صورت استفاده از نرمافزارهای نامبردهشده باید اقدام به بهروزرسانی کنید:
•JDK و JRE 7 بهروزرسانی هفدم و پیش از آن
•JDK و JRE 6 بهروزرسانی چهل و سوم و پیش از آن
•JDK و JRE 5.0 بهروزرسانی چهل و یکم و پیش از آن
•JavaFX 2.2.7 و نسخههای قدیمیتر
بهروزرسانیهای نهایی از این قرارند:
•JDK و JRE 7 بهروزرسانی ۲۱
•JDK و JRE 6 بهروزرسانی ۴۵
•JDK و JRE 5.0 بهروزرسانی ۴۳
•JavaFX 2.2.21
۱۹ مورد از این آسیب پذیریها (٪۴۵٫۲۴) نمرهی پایهی CVSS معادل ۱۰ را
داشتند، ۲۸ مورد (٪۶۶٫۶۷) نمرهی بیش از ۷ را دارا بوده و ۱۳ مورد (٪۳۰٫۹۵)
از آسیب پذیریهای مربوطه دارای نمرهای بین ۴ تا ۷ بودند. و تنها یک
مورد نمرهی ضعیفِ کمتر از ۴ را دارا بود.
۲۵ مورد از این آسیب پذیریها (٪۵۹٫۵۲) بر Java SE 6 و ۴۲ مورد (یعنی ٪۱۰۰) بر Java SE 7 تأثیر داشتند