Domov      Nastavenia 
RSS English Slovensky

Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Spoločnosť Oracle opravila 402 zraniteľností v októbrových aktualizáciách

13.11.2020
Softvérová spoločnosť Oracle vydala v októbri množstvo aktualizácií, ktoré opravujú až 402 chýb v jej produktoch. Dvojica chýb (CVE-2020-1953 a CVE-2020-14871) dosiala skóre CVSS 10, kritických je aj mnoho ďalších chýb. Ako uvádza portál Threatpost.com, viac ako polovicu zraniteľností je možné zneužiť na diaľku bez autentifikácie.

 

Dôsledky

  • Kompromitácia siete a systémov
  • Potencionálny únik citlivých dát
  • Nedostupnosť služby

Opis činnosti
CVE-2020-1953, CVE-2020-14871

Spoločnosť Oracle opravila v októbri 402 bezpečnostných zraniteľností vo viacerých svojich produktoch. Väčšina zraniteľností bola objavená v aplikáciách Oracle Financial Services Applications (53), Oracle MySQL (53), Oracle Communications (52), Oracle Fusion Middleware (46), Oracle Retail Applications (28) a Oracle E-Business Suite (27).

CVE-2020-1953 (CVSS 10)

Oracle Healthcare Foundation je analytická platforma, ktorá podporuje viac ako 35 tematických oblastí relevantných pre analýzu zdravotníckych dát. Poskytovateľom zdravotnej starostlivosti dáva k dispozícii podrobnejšie údaje o požiadavkách jednotlivcov, alebo populácie. Chyba sa našla v konfigurácii Apache Commons, ktorá využíva knižnicu tretej strany na spracovanie súborov YAML.

YAML je človekom čitateľný štandard serializácie údajov, ktorý sa dá použiť v spojení so všetkými programovacími jazykmi a často sa používa na zápis konfiguračných súborov. YAML v predvolenom nastavení umožňuje inštanciu tried, ak obsahuje špeciálne príkazy. Ak bol súbor YAML načítaný z nedôveryhodného zdroja, môže načítať a spustiť kód mimo kontroly hostiteľskej aplikácie. Táto zraniteľnosť má dopad na samoobslužnú analýzu Oracle Healthcare Foundation. Podľa spoločnosti Oracle je túto chybu možné zneužiť jednoduchým spôsobom na diaľku, bez interakcie používateľa.

CVE-2020-14871 (CVSS 10)

Druhá kriticky hodnotená zraniteľnosť sa nachádza v autentifikačnom module operačného systému Oracle Solaris, ktorý je podnikovým operačným systémom pre databázu Oracle a aplikácie Java. Táto zraniteľnosť je ľahko zneužiteľná pre útočníka, ktorý má prístup do podnikovej siete. Zraniteľnosť umožňuje bez autentifikácie kompromitovať Oracle Solaris cez nainštalované produkty aj napriek tomu, že v samotnom systéme Oracle Solaris je táto chyba zabezpečená. Útočník môže výrazne ovplyvniť zneužitím tejto zraniteľnosti tieto produkty v sieti.

Zraniteľné systémy

  • Oracle Healthcare Foundation 7.1.1, 7.2.0, 7.2.1 a 7.3.0.
  • Oracle Solaris verzie 10 a 11
  • Apache Commons verzie 2.2, 2.3, 2.4, 2.5, 2.6 – obsahujú predvolené nastavenie knižnice YAML

Zoznam všetkých zraniteľností, ktoré boli opravené, môžete nájsť na stránkach Oracle.

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik informácií
Nedostupnosť zariadenia (DoS)

Odporúčania
Bezodkladná aktualizácia produktov Oracle.

Odkazy
https://www.oracle.com/security-alerts/cpuoct2020.html
http://www.antihackingonline.com/potential-risk-of-cve/closer-look-of-cve-2020-1953-it-was-impact-oracle-ohf-self-service-analytics-20th-oct-2020/
https://threatpost.com/oracle-october-patch-update/160407/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14871
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1953



<< zoznam oznámení