▌作者:Tom Spring
▌翻译:360代码卫士团队
甲骨文刚刚发布例行的季度重要补丁更新,修复了数百款产品中的250个漏洞。
打补丁最多的产品是甲骨文FusionMiddleware,共38个;其次为甲骨文HospitalityApplications (37个)和甲骨文MySQL(25个)。
甲骨文EBS中出现高危漏洞
Onapsis公司的安全研究员表示,在这些重要补丁中,他们从流行的甲骨文E-BusinessSuite (EBS)中发现了三个高危的SQL注入漏洞。他们指出,其中一个漏洞(CVE-2017-10332) 很容易遭利用。该公司告警称甲骨文EBS(版本12.1和12.2)的用户易遭SQL注入漏洞攻击,可导致网络中不具有用户名和密码凭证的攻击者访问并修改重要文档和信息如信用卡数据、消费者信息、人力资源文档或金融记录。
Onapsis公司的首席信息官Perez-Etchegoyen指出,每个SQL注入漏洞都易遭攻击,攻击者能够中断、提取或控制企业资源规划、供应链管理或金融管理系统的数据。他指出,攻击者只需一个web浏览器和对EBS系统HTTP界面的网络访问权限就可实施攻击。
Onapsis公司指出,在甲骨文EBS中发现的漏洞数量呈上升趋势,跟去年相比,2017年发现的漏洞数量增长了29%。
上个月,甲骨文借安全公告发布的时机提醒用户称,4月份甲骨文修复了Struts漏洞 (CVE-2017-5638),而这个漏洞引发Equifax大规模数据泄露事件,导致1.43亿美国公民信息遭泄露。
漏洞或为相关企业带来风险
Perez-Etchegoyen援引Ponemon Research开展的研究表示,受访的600名人员中,少于一半的人表示每个月都要为甲骨文EBS应用程序打补丁。70%的受访人员认为他们的公司可能会因为未修复的甲骨文EBS应用程序遭受攻击。
其他更新情况
甲骨文在这次季度补丁更新中还为Java平台标准版发布了22个新补丁。其中20个漏洞可遭未经验证的攻击者远程攻击。例如,它们可经由无需用户凭证的网络遭受攻击。影响甲骨文Java标准版的漏洞的CVSS分数最高是9.6。受影响的产品是Java AdvancedManagement Console、JavaSE、JavaSE Embedded和JRockit。
甲骨文数据库服务器收到6个安全补丁,其中两个漏洞可遭未经验证的远程攻击。受影响的数据库服务器组件包括Spatial(Apache Groovy)、WLM(Apache Tomcat)、JavaVM、RDBMSSecurity、CoreRDBMS和XMLDatabase。
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
