Tags:
Node Thumbnail

ออราเคิลปล่อยแพตช์ประจำไตรมาสที่สองของปี ตามนโยบายการออกแพตช์ปีละสี่รอบของบริษัท โดยรอบนี้มีช่องโหว่ได้รับการแก้ไขรวม 299 รายการ กระจายไปตามรายการซอฟต์แวร์ต่างๆ แต่รายการช่องโหว่ระดับวิกฤติ มักมาจากช่องโหว่ของ Struts 2 หลายสิบรายการ

สำหรับช่องโหว่จาวาที่ร้ายแรงที่สุดเป็น CVE-2017-3512 และ CVE-2017-3514 ในส่วน AWT, ส่วน Solaris มีช่องโหว่ระบบร้ายแรงสูงสุด 1 รายการในส่วน Kernel RPC

MySQL นั้นตัวเซิร์ฟเวอร์มีช่องโหว่คะแนน CVSS สูงสุดที่ 7.7 แต่สำหรับคนใช้รุ่น Enterprise อาจจะต้องระวังกว่าเพราะตัว Monitoring ได้รับผลกระทบจาก Struts 2 ทำให้มีช่องโหว่คะแนน 10.0 อีกหนึ่งรายการ

ERPScan เป็นผู้รายงานช่องโหว่ 7 ช่องในแพตช์รอบนี้ ระบุว่าช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2017-3549 ใน Oracle E-Business Suite ที่เปิดให้แฮกเกอร์ยิง SQL injection เพื่อดูหรือเปลี่ยนแปลงข้อมูลในระบบได้โดยไม่ต้องมีสิทธิ์ในระบบ

ที่มา - eWeek, Oracle

Get latest news from Blognone

Comments

By: sukjai
iPhoneAndroidRed HatUbuntu
on 21 April 2017 - 21:58 #980840

Struts นี่ไม่ใช่ของ oracle นี่ครับ หรือผมไม่เข้าใจข่าวที่เขียน


เทวดาท่าจะบ๊อง

By: lew
FounderJusci's WriterMEconomicsAndroid
on 21 April 2017 - 22:33 #980844 Reply to:980840
lew's picture

Struts เป็นโครงการของ Apache ใช่แล้วครับ แต่ออราเคิลใช้อยู่ในสินค้าที่ตัวเองส่งมอบให้ลูกค้า

แบบเดียวกับ OpenSSL มีช่องโหว่ ผู้ผลิตที่ส่งมอบสินค้าของตัวเองไปพร้อม OpenSSL เช่น Ubuntu, RedHat ฯลฯ ก็ต้องถือว่าสินค้าของตัวเองมีช่องโหว่ไปด้วย และตามไปอุดช่องโหว่ให้


lewcpe.com, @public_lewcpe

By: sukjai
iPhoneAndroidRed HatUbuntu
on 22 April 2017 - 20:09 #981016 Reply to:980844

อ๋อ เข้าใจละขอบคุณครับ


เทวดาท่าจะบ๊อง