Ежеквартальное обновление Oracle вышло в апреле и затрагивает более 100 продуктов производителя. Из 254 пропатченных угроз 159 относились к критически важным для бизнеса приложениям. К примеру, флагманский продукт Oracle E-Business Suite получил 12 исправлений безопасности.

По оценке CVSS, рейтинг 42 угроз был выше девяти баллов. Одна из самых опасных уязвимостей CVE-2018-7489 нашлась в приложении Financial Services Market Risk Measurement and Management. Оно служит для оценки, мониторинга и резервирования капитала компаний, участвующих в операциях с ценными бумагами. Брешь в защите позволяла злоумышленникам без больших усилий получать доступ к сети через протокол HTTP, компрометировать систему и перехватывать над ней контроль.

Из всех обнаруженных угроз 69% могли быть исполнены удаленно, минуя процесс авторизации в системе. Половина из 36 брешей, найденных в защите приложений для проведения финансовых операций, позволяли выполнить удаленный код без аутентификации.

Наиболее опасные уязвимости, получившие 9,8 балла в рейтинге CVSS, также затрагивали работу Oracle Financial Services Hedge Management, IFRS Valuations, Oracle WebLogic Server, JD Edwards World Security, Oracle Retail Order Management System.

В Oracle PeopleSoft исправлены 12 проблем защиты. Это приложение состоит из множества инструментов, включая управление человеческими ресурсами, финансами, взаимодействием с поставщиками и других. В них поступает жизненно важная для бизнеса информация, манипулирование или кража которой может привести к серьезным потерям.

Для одного из самых популярных продуктов — E-Business Suite — появился специальный бесплатный сканер защиты ERPScan EBS. Утилита состоит из четырех модулей: EBS DB-брутфорс пользователя, EBS-брутфорс пользователя, EBS-тест на сериализацию в Java, EBS-тест на сериализацию в XML.

Разработчик также обратился к пользователям с просьбой не пропускать апрельский патч безопасности. Oracle заявила, что, несмотря на устранение более 200 угроз в январе, компания все еще фиксирует случаи их эксплойта, связанные с тем, что некоторые проигнорировали выход предыдущего обновления.

Категории: Главное, Кибероборона, Уязвимости