В конце прошлой недели компания Oracle выпустила исправления к ранее залатанным уязвимостям в Apache Struts 2, в том числе для бага CVE-2017-9805 —эксплойта, дававшего возможность запускать критически важный код и удаленно брать под контроль всю систему.

Ранее в этом месяце Apache Software Foundation починила RCE-уязвимость для серверов, где выполняются приложения на базе платформы Apache Struts, и плагина обмена данными REST.

Уязвимость присутствует в более чем 20 продуктах Oracle. В бюллетене упоминаются несколько версий Oracle Financial Services, а также FLEXCUBE Private Banking и WebLogic Server. Полный список продуктов Oracle и их версий с уязвимостью приведен здесь.

Кроме того, в прошлую пятницу Oracle закрыла шесть других брешей, включая CVE-2017-7672, CVE-2017-9787, CVE-2017-9791, CVE-2017-9793, CVE-2017-9804 и CVE-2017-12611.

В понедельник Компьютерная группа реагирования на чрезвычайные ситуации США (US-CERT) уведомила о доступности этих обновлений в Twitter.

Также специалисты Oracle напомнили пользователям, что они уже давно устранили скандально известную уязвимость в Struts под номером CVE-2017-5638 — еще в апреле, в ходе ежеквартального выпуска критических патчей. Скорее всего, именно этот эксплойт стал причиной массовой утечки данных 143 млн американцев, доверенных бюро кредитных историй Equifax. В Apache Software Foundation отметили, что апрельское обновление уже давно следовало установить на пользовательских системах, и призвали администраторов без промедления применить патчи из бюллетеня безопасности этого месяца.

Последствия летней утечки данных Equifax продолжает устранять до сих пор, и конца работе над ошибками пока не видно. Во вторник подал в отставку председатель совета директоров и генеральный директор Equifax Ричард Смит (Richard Smith), причем перед обнародованием этого известия торги акциями Equifax были временно приостановлены. Неделей раньше ушли со своих постов директор по информационным технологиям Дэвид Вэбб (David Webb) и директор по безопасности Сьюзан Молдин (Susan Mauldin).

Однако даже основательная чистка рядов едва ли смягчит гнев Банковского комитета Сената. Во вторник во время слушания Комиссии по ценным бумагам и биржам сенатор-демократ от штата Виргиния Марк Уорнер (Mark Warner) резко прошелся по Equifax, назвав ее «пародией» на компанию.

«На мой взгляд, отставки генерального директора недостаточно, — заявил сенатор. — Во-первых, они наплевательски отнеслись к своей защите. А во-вторых, очевидно, что они знали об этой уязвимости, причем уже многие месяцы. Если бы они закрыли брешь вовремя, все это можно было бы предотвратить. Сомневаюсь, что при таком небрежном отношении к кибербезопасности Equifax имеет право и дальше оказывать свои услуги».

Категории: Кибероборона