圖片來源: 

Oracle

甲骨文(Oracle)於本周展開了每季的例行性重大修補更新(Critical Patch Update,CPU),修補301個安全漏洞,其中有45個被列為重大(Critical)等級,在CVSS漏洞評分系統上達到9.8分,最嚴重的CVE-2018-2913則拿到10分。

本周的修補涉及甲骨文旗下的十多種產品,涵蓋E-Business Suite、Fusion Middleware、Oracle MySQL、Communications、Hospitality、Retail、Java SE及PeopleSoft等,其中,漏洞最多的產品為Fusion Middleware,總計修補了65個相關漏洞,其它依序是Oracle MySQL的38個、Retail的31個與PeopleSoft的24個,此次甲骨文雖然只修補了12個Java SE漏洞,但有11個可供遠端開採。這是甲骨文2018年的最後一次修補,也讓今年的總修補量達到1,119個。

被列為最應優先修補的CVE-2018-2913影響的是Oracle GoldenGate,Oracle GoldenGate為一可於異質IT環境進行即時資料整合與複製的軟體套件,該漏洞屬於堆積緩衝區溢位漏洞,允許未經授權的駭客自遠端入侵。資安業者Tenable指出,相關攻擊並不複雜,再加上攻擊行動可自遠端執行且不需憑證,駭客還可藉由入侵GoldenGate危害企業中的其它產品,讓情況更形惡化,呼籲企業應謹慎對待。

另一資安業者Waratek則指出,甲骨文本季所修補的Java漏洞絕大多數都是針對Java 8及更早的版本,只有少數的修補是鎖定Java 9、Java 10與Java 11;此外,儘管甲骨文即將要在明年1月終止對Java 8的公開支援,但仍有大量的新一代企業應用程式持續以Java 8撰寫,未來企業可能會因此而陷入困境。

甲骨文則一如繼往地鼓勵用戶立即更新產品,以防駭客開採這些已被公開的安全漏洞。


Advertisement

更多 iThome相關內容