Во вторник, 17 октября, компания Oracle закрыла 250 уязвимостей в сотне различных продуктов в рамках ежеквартального выпуска критических патчей.

Рекордсменами по количеству брешей стали Oracle Fusion Middleware — 38 багов, Oracle Hospitality Applications — 37 багов и Oracle MySQL — 25 багов.

В число критических попали три серьезные SQLi-уязвимости в популярном пакете Oracle E-Business Suite (EBS), которые идентифицировали ИБ-эксперты Onapsis.

«Хотя все три бреши несут в себе огромные риски, CVE-2017-10332 является самой простой для организации атаки», — заявил технический директор Onapsis Хуан Перес-Этчегойен (JP Perez-Etchegoyen).

Специалисты Onapsis предупреждают пользователей Oracle EBS версий 12.1 и 12.2, что программы уязвимы к атакам SQL-инъекцией. Потенциально они позволяют злоумышленнику без имени пользователя и пароля получить по сети полный доступ к важным документам, данным кредитных карт, информации о клиентах, документации отдела кадров или финансовым записям.

Перес-Этчегойен отметил, что злоумышленники могут без проблем воспользоваться любой из брешей для SQL-инъекции, чтобы украсть, изменить или испортить данные корпоративных систем планирования ресурсов, управления цепочками поставок и финансовых операций.

«Эти уязвимости требуют особого внимания, поскольку атакующему достаточно иметь веб-браузер и сетевой доступ к системе EBS через HTTP-интерфейс», — заявил Перес-Этчегойен.

Эксперты Onapsis отметили, что количество обнаруженных в Oracle EBS уязвимостей растет — в 2017 году было выявлено на 29% больше брешей, чем в прошлом году.

Специалисты Oracle выпустили патчи всего через несколько недель после конференции Oracle Open World, на которой Ларри Эллисон (Larry Ellison), сооснователь, председатель совета директоров и технический директор корпорации, подчеркнул в своем докладе важность безопасности. Также руководитель воспользовался случаем, чтобы подчеркнуть важность своевременного латания ПО в связи с недавней масштабной утечкой в Equifax.

В прошлом месяце в своем бюллетене специалисты Oracle решили напомнить пользователям, что в апреле они устранили уязвимость в Struts под номером CVE-2017-5638, ставшую причиной массовой утечки данных 143 миллионов американцев в результате взлома Equifax.

Организации забывают патчить важнейшие бизнес-приложения, считает Перес-Этчегойен.

Цитируя недавнее исследование Ponemon Research, эксперт отметил, что менее половины из 600 респондентов имеют ежемесячный план по установке исправлений безопасности в приложения Oracle EBS. Также 70% считают, что из-за отсутствия защиты Oracle EBS или неустановленных патчей в их компании вероятна утечка данных.

Помимо прочего, в рамках ежеквартального выпуска обновлений компания Oracle выпустила 22 заплатки для платформы Java Standard Edition. Двадцать из этих уязвимостей можно использовать удаленно и без аутентификации, например по сети без ввода учетных данных пользователя. Самая опасная уязвимость в Oracle Java SE получила оценку 9,6 балла по шкале CVSS.

Эти бреши актуальны для Java Advanced Management Console, Java SE, Java SE Embedded и JRockit.

Сервер Oracle Database получил шесть исправлений безопасности, при этом две уязвимости эксплуатируются удаленно и без аутентификации. В число затронутых компонентов сервера Oracle Database входят Spatial (Apache Groovy), WLM (Apache Tomcat), Java VM, RDBMS Security, Core RDBMS и XML Database.

Категории: Главное, Уязвимости