وصله‌ی حیاتی اوراکل و رفع ۱۲۸ آسیب‌پذیری

اوراکل پنج دسته وصله صادر کرده که در مجموع ۱۲۸ اصلاحیه را برای آسیب‌ پذیری امنیتی موجود در صدها نرم‌افزار این شرکت به همراه داشته است. می‌توان گفت این مشکلات امنیتی در عمده‌ی محصولات اوراکل دیده شده‌اند.

به گزارش سافت‌گذر به نقل از فن آوری اطلاعات ایران، از ۴۲ آسیب‌ پذیری امنیتی که در این وصله برطرف شده، ۳۹ مورد از راه دور و بدون احراز هویت قابل استفاده بودند. مؤلفه‌های آسیب‌دیده شامل Oracle HTTP Server ،Jrockit ،WebCenter و WebLogic می‌باشد.

هر کدام از آن‌ها دستِ کم یک نصب drive-by1 محسوب می‌شوند و در نتیجه‌ی آن‌ها بدافزار به‌طور مستقیم به مرورگر کاربر تحویل داده شده و بدون نمایش پیام هشدار و یا حتی علامت قابل مشاهده‌ای شروع به اجرا می‌کند.

گفتنی است دو محصول اصلی اوراکل یعنی Database Server و Fusion Middleware، دارای آسیب‌ پذیری‌هایی هستند که حداکثر نمره‌ی امنیتی ۱۰٫۰۰۰ (هشدار قهوه‌ای) را به خود اختصاص داده‌اند. بد نیست بدانید که ۲۹ اصلاحیه متعلق به Fusion Middleware می‌باشد که ۲۲ مورد از این تعداد مربوط به جلوگیری از حملاتی بوده که بدون نیاز به احراز هویت کاربر صورت می‌گیرند.
Oracle E-Business Suite، Oracle Supply Chain Products Suite و Oracle PeopleSoft Products به ترتیب حائز سه، شش و یازده اصلاحیه‌ی امنیتی شده‌اند.
ده‌ها اصلاحیه‌ی مختلف مربوط به محصولاتی با نشان تجاری Sun و نرم‌افزار مالی اوراکل پس از ارائه‌ی باقی وصله‌ها و به همراه کانال انتشار به‌روز‌رسانی معمول اوراکل در دست‌رس عموم قرار گرفته است.

به‌روز‌رسانی وصله‌ی «حیاتی» شامل اصلاحیه‌های امنیتی بیشتری نسبت به وصله‌ی ماه ژانویه بوده و به عبارت دقیق‌تر دارای ۸۶ وصله را ارائه کرده است. ماهیت تأثیرگذاری بالای این به‌روز‌رسانی‌ها حاکی از آن است که در اولین فرصت می‌بایست محصولات آسیب‌ پذیر را به واسطه‌ی آن‌ها ترمیم نمود.

در حقیقت وصله‌ی حیاتی جاوا نیز در آوریل ۲۰۱۳ برای جاوا حاوی ۱۹ CVE با نمره‌‌ی ۱۰(بالاترین نمره) است که نشان از سوء‌استفاده‌ی زیاد از این آسیب‌ پذیری‌ها دارد که می‌تواند کنترل کامل رایانه را به دست مهاجمان بسپارد.

از مجموع کل وصله‌های ارائه‌شده ۴۲ مورد برای افزایه‌های۲ وب جاوا صادر شده‌اند، از میان آسیب‌ پذیری‌های مربوط به این وصله‌ها تنها سه مورد از راه دور قابل بهره‌برداری نبوده‌اند، این بدان معناست که نرم‌افزار درون شبکه بدون نیاز به هرگونه شناسه یا گذرواژه‌ای قابل حمله می‌باشد.

اوراکل از سامانه‌ی «Common Vulnerability Scoring System» برای رتبه‌بندی آسیب‌ پذیری‌های گزارش‌ شده استفاده می‌کند. این رتبه‌بندی شدت تهدید را منعکس می‌سازد و بیان می‌کند که تهدید مربوطه در محیط نرم‌افزاری چگونه عمل خواهد کرد.

در صورت استفاده از نرم‌افزارهای نام‌برده‌شده باید اقدام به به‌روز‌رسانی کنید:
•JDK و JRE 7 به‌روز‌رسانی هفدم و پیش از آن
•JDK و JRE 6 به‌روز‌رسانی چهل و سوم و پیش از آن
•JDK و JRE 5.0 به‌روز‌رسانی چهل و یکم و پیش از آن
•JavaFX 2.2.7 و نسخه‌های قدیمی‌تر
به‌روز‌رسانی‌های نهایی از این قرارند:
•JDK و JRE 7 به‌روز‌رسانی ۲۱
•JDK و JRE 6 به‌روز‌رسانی ۴۵
•JDK و JRE 5.0 به‌‌روز‌رسانی ۴۳
•JavaFX 2.2.21
۱۹ مورد از این آسیب‌ پذیری‌ها (٪۴۵٫۲۴) نمره‌ی پایه‌ی CVSS معادل ۱۰ را داشتند، ۲۸ مورد (٪۶۶٫۶۷) نمره‌ی بیش از ۷ را دارا بوده و ۱۳ مورد (٪۳۰٫۹۵) از آسیب‌ پذیری‌های مربوطه دارای نمره‌ای بین ۴ تا ۷ بودند. و تنها یک مورد نمره‌ی ضعیفِ کم‌تر از ۴ را دارا بود.
۲۵ مورد از این آسیب‌ پذیری‌ها (٪۵۹٫۵۲) بر Java SE 6 و ۴۲ مورد (یعنی ٪۱۰۰) بر Java SE 7 تأثیر داشتند