今天分享一个 Oracle CPU「Critical Patch Update,即重要补丁更新」安全的话题,不知道有多少读者跟我一样,对安全感兴趣,建议你可以了解一下。
下图来 ERPScan 官方 Twitter 消息
本周甲骨文发布了7月份的 CPU,此次补丁更新解决了334个安全漏洞「包括61个评级严重的漏洞」,涵盖了大量甲骨文企业产品。
这次补丁升级,总共修复334个漏洞,其中有61个漏洞被评为严重,CVSS 评级在9到10之间。甲骨文官方表示,目前任然发现部分漏洞还在活跃,因此,建议管理员立即更新相关应用。
此次更新突破以往 CPU 修复的历史最高水平,超过了2017年7月的「修复308个漏洞」记录。此前也曾有过大批量 CPU 修复;比如4月份修复了251个漏洞; 1月份解决了233个漏洞。
CPU 中的大多数补丁都是为广泛部署的 PeopleSoft 企业资源规划平台、电子商务组件、MySQL数据库、Siebel CRM、Fusion中间件和 JD Edwards产品等。然而,这些产品为许多公司提供了最敏感的信息支撑,包括财务信息,人力资源数据,垂直特定信息,如学生成绩、贷款或医疗保健PHI,以及业务流程和知识产权的战略运营数据。此次还发布了Java 补丁,但只有8个,比去年7月份的同期数量下降了75%。
接着,我们来看一下 ERPScan 的分析报告。
从条形图可以看出,Oracle CPU 的增长趋势一直存在。在过去的4年中,安全补丁的平均数量增加了两倍「从113到334」。
从表格和饼图中我们可以得出结论,本次金融服务应用的补丁数最多「56个」,其次是Fusion中间件「44个」,然后是零售应用程序和MySQL数据库「31个」。
根据 ERPScan 的整体分析结果,我们可以得出结论,大约65%的缺陷可以在不输入凭据的情况下远程利用。在金融服务方面,56个漏洞中的21个可以允许攻击者远程访问系统,而无需输入用户凭据; 在 Fusion 中,44个漏洞中的38个也有这样的缺陷。
就目前显示的漏洞而言,Fusion 中最严重的漏洞之一是允许远程用户通过 Oracle 业务流程管理组件流程分析和发现组件「CVE-2018-3100」中的缺陷访问和修改数据;另一个是允许攻击者使用 Oracle 的中间件 MapViewer Map Builder 组件「CVE-2018-2943」的问题获得提升的权限。剩下其他的问题可能是拒绝服务攻击了。
CVE-2018-3100
CVE-2018-2943
PeopleSoft 有15个补丁,其中两个获得了 9.8 的 CVSS 评分。鉴于它被用于支撑其它业务,如人力资源、财务、供应链管理、服务自动化等核心企业功能,便尤其引人注目。根据 ERPScan 分析得出,由于 Oracle 管理各种业务流程并存储关键数据,因此,对 PeopleSoft 的成功攻击允许攻击者窃取或操纵不同的业务关键信息,具体取决于组织中安装的模块。
同样,甲骨文在电子商务组件中也存在多个缺陷,允许远程用户访问和修改目标系统上的数据,共有14个补丁,最高 CVSS 分数为8.2。其中一个问题还允许本地用户利用 Oracle 订单管理系统诊断工具组件中的缺陷来升级权限「CVE-2018-2954」。
CVE-2018-2954
此次 CPU 包含8个针对 Java SE 的新安全修复程序。所有漏洞都无需身份验证即可远程利用;它们存在于Java SE版本6u191,7u181,8u172和10.0.1中,最高CVSS分数为 9。
Waratek 执行副总裁兼全球首席营销官 James Lee 表示,「从表面上看,Java SE 补丁的下降趋势似乎是好的,但是,它实际上更多地反映了Java SE 9和10的采用率,因为 Java 社区继续依赖旧版本的 Java。由于采用率较低,因此只有少数用户可以报告最新版本的 Java 中的 bug」。
其他严重缺陷包括Oracle中间件「CVSS 9.8」中的权限提升错误以及 JD Edwards TETaskProperties maflet「CVSS 9.1」中的跨脚本漏洞,可用于劫持管理员的会话数据。这些包含在 ERPScan 向 Oracle 提供的报告中,位于17个严重漏洞之列。
在此,强烈建议相关组织和机构修补所有的这些漏洞,防止影响其系统的业务风险。 提供 Oracle 安全评估和 Oracle Penetration 测试服务的公司应在其清单中罗列这些漏洞。
我一直认为,程序员也应该时刻关注安全动态,你觉得呢?
参考
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
