Новый квартальный набор патчей от Oracle закрывает 253 уязвимости в 76 продуктовых линейках. Многие из этих обновлений нацелены на усиление защиты корпоративных данных.

Наиболее неотложными, пожалуй, являются заплатки для 29 брешей в продуктах семейства Oracle Fusion Middleware; 19 из этих уязвимостей допускают удаленный эксплойт без аутентификации. Пять багов в Fusion Middleware оценены в 9,8 балла по шкале CVSS.

Три уязвимости в Commerce Platform, одна в Retail Customer Insights и одна в Retail Merchandising Insights также являются критическими и эксплуатируются удаленно.

Наибольшее количество брешей было пропатчено в Communications Applications — 36, из них 31 допускает удаленный эксплойт. В MySQL закрыта 31 уязвимость, в том числе две, эксплуатируемые удаленно.

Java тоже, как водится, получила свою порцию патчей. Семь из них устраняют уязвимости в Java SE, которые можно эксплуатировать удаленно и без аутентификации, в том числе три, оцененные в 9,6 балла по CVSS.

Брешь CVE-2010-5312 в Application Express, компоненте Database Server, известна с 2010 года. Oracle ее устранила вместе с 11 другими в Database Server, предупредив, что конечные пользователи должны установить эти патчи в обязательном порядке. «Администраторам следует запланировать патчинг CVE-2016-6304, CVE-2016-5598 и CVE-2010-5312, так как они допускают удаленный эксплойт и могут быть использованы после компрометации другой системы в сети», — заявил в блоге Амол Сарварте (Amol Sarwarte), руководитель подразделения Qualys по исследованию уязвимостей.

Аналитики из ERPScan, бессменного аудитора систем Oracle, рекомендуют пользователям обратить внимание на патчи для E-Business Suite, в особенности на тот, который устраняет проблему с реализацией OpenSSL в Oracle HTTP Server. «Данная уязвимость оценена как критическая и, согласно бюллетеню Oracle, позволяет неаутентифицированному атакующему, имеющему HTTP-доступ к сети, скомпрометировать Oracle HTTP Server, — пояснила журналистам Threatpost аналитик ERPScan Дарья Маенкова. — Это может вызвать полный отказ в обслуживании на компоненте».

«Исследователи из ERPScan провели Shodan-сканирование и обнаружили около 15 тыс. HTTP-серверов Oracle, доступных из Интернета», — добавила собеседница Threatpost.

Ряд уязвимостей, закрытых в минувший вторник, обнаружил, как всегда, известный баг-хантер и неутомимый исследователь продуктов Oracle Дэвид Личфилд (David Litchfield) из Google. На этот раз он нашел четыре возможности для внедрения SQL-кода, крывшиеся в утилитах комплекта E-Business Suite (EBS) 12.x/11.x, доступных как пользователям SYS, так и SYSTEM. Бизнес-программы обычно оперируют большим количеством важных данных, и их компрометация может повлечь кражу информации, критичной для работы предприятия.

Минувшим летом, выступая на конференции Black Hat, Личфилд рассказал, как ему удалось за неделю обнаружить в EBS 50 уязвимостей, в том числе XSS и SQLi.

Продукты Oracle широко используются в разных бизнес-реализациях по всему миру. В феврале текущего года была совершена крупная кража со счетов Центробанка Бангладеш, подключенного к системе межбанковских операций SWIFT. По свидетельству Bae Systems, эксперты которой были привлечены к расследованию, хакеры использовали вредоносную программу, работающую в среде Oracle, которую также используют клиенты SWIFT. В 2011 году Sony была вынуждена надолго отключить игровую сеть PlayStation из-за несанкционированного проникновения; как пояснил в то время Личфилд, выступая на DEFCON, хакерам удалось взломать базу данных от Oracle, которую использовала Sony.

Категории: Главное, Уязвимости