Oracle phát hành bản cập nhật bảo mật tháng 7

 

Đây là bản cập nhật kỷ lục không chỉ về số lượng mà còn liên quan đến mức độ nghiêm trọng của lỗ hổng. Có khoảng 100 bản vá xử lý các lỗ hổng có điểm CVSS trên 9 (khoảng 70 lỗ hổng có điểm CVSS từ 9,8 trở lên). Trong đó, 2 lỗ hổng nghiêm trọng có thể khai thác từ xa là CVE-2020-14701 và CVE-2020-14606, tồn tại trong các giải pháp SD-WAN Aware và SD-WAN Edge của Oracle. Cả 2 cùng có điểm CVSS là 10.

 

Oracle là nhà cung cấp phần mềm thứ ba tung ra bản vá các lỗ hổng có điểm CVSS tối đa trong tháng này. Trước đó, các hãng SAP và Microsoft cũng đã xử lý các lỗ hổng có mức điểm cao tương tự.

 

Bên cạnh đó, các giải pháp Communications của Oracle nhận được số lượng bản vá lớn nhất, gồm 60 bản vá. Trong đó, có 17 lỗ hổng được đánh giá nghiêm trọng, 46 lỗ hổng có thể bị kẻ tấn công khai thác từ xa không cần xác thực.

 

Đặc biệt, nhiều lỗ hổng được xử lý đã tồn tại trong suốt nhiều năm. Lỗ hổng có tuổi đời lâu nhất được xác định vào năm 2016 và 2017, nhưng vẫn chưa được khắc phục mặc dù đây là vấn đề nghiêm trọng. 

 

Có 52 bản vá đã được phát hành để xử lý các lỗ hổng trong phần mềm Fusion Middleware, trong đó, 48 lỗ hổng có thể bị khai thác từ xa mà không cần xác thực. Nhiều lỗ hổng trong sản phẩm này đã được báo cáo tới Oracle từ 3 năm trước.

 

Oracle khuyến cáo người dùng cần khẩn trương cập nhật bản vá. Mặc dù, công ty này liên tục nhận được báo cáo về các lỗ hổng và phát hành bản vá, nhưng trên thực tế vẫn bị các tin tặc khai thác mạnh mẽ.